شرکت مایکروسافت این هفته به روزرسانی امنیتی را منتشر کرده که در آن یک آسیب پذیری در ماشین حفاظت بدافزار این شرکت وصله شده است. برای بهره برداری از این آسیب پذیری، مهاجم در مسیری که نرم افزار اسکن می کند، یک فایل مخرب و جعلی قرار می دهد و با بهره برداری از این آسیب پذیری، کنترل دستگاه به طور کامل در اختیار مهاجم قرار خواهد گرفت.
ماشین محافظت بدافزار مایکروسافت یکی از نرمافزارهای امنیتی این شرکت محسوب شده و برای اسکن فایلها، شناسایی و حذف بدافزارها مورد استفاده قرار میگیرد. این ماشین تحت تاثیر یک آسیبپذیری اجرای کد از راه دور قرار گرفته که با اسکن یک فایل مخرب و جعلی مورد بهرهبرداری قرار میگیرد.
مهاجم میتواند این فایل مخرب و جعلی را از طریق بازدید از وبسایتها، ایمیل و یا پیامرسانها بر روی سیستم قربانی قرار دهد. اگر در این نرمافزار قابلیت اسکن خودکار فعال شده باشد، فایل جعلی در قالب حساب کاربری LocalSystem، بهطور خودکار اسکن شده و مهاجم خواهد توانست کدهای دلخواه خود را اجرا کند و ممکن است کنترل کامل دستگاه آسیبپذیر در اختیار مهاجم قرار بگیرد.
در سیستمی که ویژگی اسکن بلادرنگ فعال نشده، وقتی که طبق زمانبندی اسکن آغاز شود، حمله آغاز خواهد شد. به این آسیبپذیری شناسهی CVE-2018-0986 اختصاص داده شده و یک اشکال حیاتی محسوب میشود. تمامی محصولاتی که از ماشین محافظت بدافزار مایکروسافت استفاده میکنند، تحت تاثیر این آسیبپذیری قرار گرفتهاند. از جملهی این محصولات میتوان Exchange Server، Forefront Endpoint Protection 2010، Security Essentials، Windows Defender و Windows Intune Endpoint Protection را نام برد.
در حالیکه این آسیبپذیری بسیار خطرناک بوده و بهرهبرداری از آن آسان است، شرکت مایکروسافت احتمال بهرهبرداری از آن را کم میداند. مایکروسافت اعلام کرده بهروزرسانی مربوط به این آسیبپذیری، ۴۸ ساعت پس از انتشار، بهطور خودکار بر روی سیستمها ارسال خواهد شد و لازم نیست کاربران و مدیران سیستمها کار خاصی انجام دهند. هنوز در مورد جزئیات این آسیبپذیری مطلبی منتشر نشده است ولی به محض اینکه این بهروزرسانی خودکار بر روی سیستمهای آسیبپذیر اعمال شود، جژسیات فنی آسیبپذیری نیز در دسترس عموم قرار بگیرد.