Verificare di usare l'ultima versione di Windows Defender: scoperto un grave bug

I tecnici di Microsoft confermano la scoperta di una grave vulnerabilità nel codice di Windows Defender, Microsoft Security Essentials e di tutti gli strumenti per la sicurezza Microsoft utilizzati in ambito aziendale.

Anche Windows Defender è dotato di una funzionalità per la protezione in tempo reale che effettua la scansione del sistema operativo e, in particolare, del file system alla ricerca di eventuali minacce.

Controllare di usare l’ultima versione di Windows Defender e degli altri software Microsoft per la sicurezza è fondamentale: il motore di scansione antimalware MMPE (Microsoft Malware Protection Engine) soffre infatti di un’importante vulnerabilità che se sfruttata da parte dei criminali informatici potrebbe portare a conseguenze nefaste.

I ricercatori di Google che hanno scoperto la grave falla, hanno spiegato che la libreria mpengine.dll, comune a Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection e Microsoft Forefront Endpoint Protection e utilizzata per tutte le operazioni di scansione malware, rilevamento e rimozione delle minacce, può causare l’esecuzione di codice dannoso sul sistema dell’utente semplicemente inducendo MMPE ad analizzare un file nocivo.

Un criminale informatico deve limitarsi a inserire codice nocivo all’interno di file JavaScript aperti sul client dell’utente e caricati per esempio al momento del caricamento di un qualunque sito web.
Dal momento che MMPE funziona utilizzando i privilegi più elevati in assoluto (livello SYSTEM), l’aggressore può così assumere il pieno controllo della macchina vulnerabile.
Non solo. Il file malevolo può essere pubblicato su pagine web, trasmesso via email come allegato oppure inviato attraverso un qualunque client di messaggistica istantanea.

Microsoft ha immediatamente classificato la vulnerabilità come critica poiché non richiede alcuna interazione da parte degli utenti e il codice malevolo va in esecuzione subito, al momento della scansione del file dannoso.

Come confermato in questo documento di supporto (CVE-2018-0986), fortunatamente Microsoft ha già rilasciato le patch correttive per il suo motore di scansione.

Controllare che Windows Defender e gli altri software Microsoft siano aggiornati all’ultima versione

Per scongiurare qualunque rischio di esecuzione di codice nocivo, anche semplicemente visitando un sito web (non necessariamente malevolo in sé), suggeriamo di verificare che il motore di scansione antimalware di Microsoft sia aggiornato all’ultima versione.

La procedura da seguire è la seguente:

– Windows 10: premere la combinazione di tasti Windows+I quindi scegliere l’icona Aggiornamento e sicurezza.
Dalla colonna di sinistra scegliere Windows Defender.

– Windows 8.1: scrivere Windows Defender nella casella di ricerca del sistema operativo quindi cliccare su Aiuto, Informazioni su.

– Windows 7: nella casella di ricerca del sistema operativo scrivere Windows Defender quindi selezionare Aiuto, Informazioni su.

Controllare il numero di versione che figura accanto alla voce Versione motore: se essa fosse 1.1.14600.4 o precedenti è importante forzare l’aggiornamento di Windows mediante Windows Update e installare il nuovo aggiornamento del motore di scansione MMPE appena reso disponibile.
Le versioni 1.1.14700.5 e successive sono immuni al problema di sicurezza descritto.

La procedura dovrebbe essere immediatamente messa in campo soprattutto da coloro che hanno disattivato gli aggiornamenti automatici.

L’aggiornamento 1.1.14700.5 è in corso di distribuzione e dovrebbe essere disponibile su Windows Update nel corso delle prossime 24-48 ore.