Microsoft schließt eine als “kritisch” eingestufte Sicherheitslücke in den Versionen 1.1.13701.0 und früher seiner Malware Protection Engine. Die Virenschutz-Komponente ist unter anderem in Windows Defender, Windows 8.1, Windows 10 und Windows Server 2016 integriert. Die von den Google-Sicherheitsforschern Natalie Silvanovich und Tarvis Ormandy entdeckte Schwachstelle trägt die Kennung CVE-2017-0290. Sie findet sich auch in Unternehmenslösungen von Microsoft, darunter Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection.
Silvanovich und Ormandy haben einen ausführlichen Bericht zu der Lücke erst angekündigt, aber zuvor schon Microsoft informiert und dessen schnelle Reaktion gelobt. Den Entdeckern zufolge steckt der Fehler in NScript. Diese Komponente der Malware Protection Engine untersucht sämtliche Dateisystem- und Netzwerkaktivitäten. Offenbar validiert die Funktion JsDelegateObject_Error::toString() manche Informationen nicht, bevor sie zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() übergeben werden. Ormandy hat bereits einen Proof-of-Concept-Code veröffentlicht. Allein der Download führe aber bereits zum Absturz der Malware Protection Engine (MsMPEng).
Wie Microsoft in einem Security Bulletin mitgeteilt hat kann die Schwachstelle ausgenutzt werden, um Code einzuschleusen und das System komplett zu übernehmen. Dazu sei es lediglich erforderlich, dem Programm eine “speziell bearbeitete Datei” vorzulegen. Was das genau bedeutet, führt Microsoft nicht aus. Der in zahlreichen Produkten integrierte Virenschutz untersucht Dateien generell beim Eingang im Hintergrund auch ohne Zutun des Nutzers. Der hat also kaum eine Möglichkeit, eine Infektion zu verhindern.
Laut Microsoft soll die Sicherheitsaktualisierung innerhalb der nächsten 48 Stunden automatisch an betroffene Systeme verteilt werden. Damit das Update eingespielt werden kann, sollten Administratoren die Aktualisierungseinstellungen überprüfen anpassen und gegebenenfalls. Private Anwender bekommend das Update automatisch zusammen mit der Aktualisierung der Virendefinitionsdatei. Ob es angekommen ist, lässt sich daran erkennen, dass die Malware Protection Engine dann die Versionsnummer 1.1.13704.0 aufweist.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Zur Sicherheitslücke CVE-2017-0290 sind in der Schwachstellendatenbank noch keine detaillierten Angaben verfügbar. Allerdings hatte Google-Forscher Ormandy vor einigen Tagen im Rahmen von Googles Project Zero bereits einige Einzelheiten veröffentlicht. Die Lücken in der Malware Protection Engine sind demnach besonders gefährlich, weil diese außerhalb einer Sandbox läuft. Angreifer erhalten Zugriff auf die Komponente, indem sie eine E-Mail an das Zielobjekt schicken. Es sei nicht einmal erforderlich, die E-Mail zu lesen oder den Anhang zu öffnen.
[mit Material von Kai Schmerer, ZDNet.de]
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
Schreibfehler bitte korrigieren. Die verwundbare Version ist die 1.1.13701.0
Danke für den Hinweis. Sie haben Recht. In der Versionsnummer war eine 9 zuviel hineingerutscht. Ist korrigiert.
Peter Marwan
Redaktion silicon.de