ในวันพุธที่ผ่านมา Microsoft ได้ออก patch ให้กับ Windows ทุก version ที่ใช้งาน Malware Protection Engine สำหรับการทำ security scans.

การ update ดังกล่าวเป็นการกระทำเพื่อปิด  bug ที่ถูกค้นพบโดย UK National Cyber Security Centre (NCSC), ซึ่งเป็นสาขาหนึ่งของ UK Government Communications Headquarters (GCHQ), หรือก็คือหน่วยข่าวกรองของอังกฤษนั่นเอง

Bug ดังกล่าวได้รับ CVE เป็น CVE-2017-11937— ระดับคือ “Critical” เพราะทำให้เกิดช่องโหว่ Remote Code Execution ได้นั่นเอง

ช่องโหว่ดังกล่าวถูกพบใน Microsoft Malware Protection Engine เนื่องด้วยมีการจัดการไฟล์บางชนิดได้ไม่ดี ซึ่งนำไปสู่การเกิด memory corruption. Attacker ใดๆที่สามารถโจมตีช่องโหว่ดังกล่าวสำเร็จจะกลายเป็นการรันคำสั่งใกๆโดยใช้สิทธิ์ของ LocalSystem account และทำให้สามารถยึดระบบได้

เพื่อจะโจมตีช่องโหว่ดังกล่าว Attacker จำเป็นต้องสร้างไฟล์ที่เป็น malicious ไปยังเครื่อง client ซึ่งอาจจะผ่าน email, IM Messages หรือการฝังไว้ในเว็บไซด์เพื่อให้ client download ซึ่งช่องทางเหล่านั้นจะถูก scan โดย Microsoft Malware Protection Engine แบบอัตโนมัติ เพราะเนื่องด้วย Microsoft Malware Protection Engine นั้นถูกออกแบบมาให้ทำ real time automatically scanning, ซึ่งทำให้การโจมตีนี้เกิดค่อนข้างง่าย

Malware Protection Engine ถูกรวมอยู่ใน product หลายๆตัว รวมถึง Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, และ Windows Intune Endpoint Protection

ดีหน่อยตรงที่ Microsoft Malware Protection Engine นั้นออกแบบมาให้ทำการ update ด้วยตัวเองเป็นปกติอยู่แล้วดังนั้นก็แค่ต่อ internet ไว้ที่เหลือเดี๋ยวระบบมันจะจัดการเองนั่นเอง

ระบบที่ได้รับผลกระทบ: Product ใดๆที่มีการใช้งาน Microsoft Malware Protection Engine
ผลกระทบ: Remote Code Execution
วิธีการแก้ไข: Update เป็น Microsoft Malware Protection Engine version 1.1.14405.2.

Source:: BleepingComputer