Microsoft schließt kritische Sicherheitslücke in Malware Protection Engine

Sie tritt auf, wenn die Virenschutz-Komponente Malware Protection Engine eine "speziell bearbeitete Datei" auf Viren überprüft. Ein Angreifer kann dadurch Code einschleusen und das System komplett übernehmen.

Microsoft hat eine kritische Lücke in seiner Virenschutz-Komponente Malware Protection Engine geschlossen. Betroffen sind die Versionen  1.1.13701.0 und früher. Laut Security Bulletin ist es möglich, schadhaften Code einzuschleusen und das System komplett zu übernehmen, wenn der in zahlreichen Produkten integrierte Virenschutz eine „speziell bearbeitete Datei“ untersucht. Was Microsoft mit „speziell bearbeitete Datei“ meint, hat es nicht veröffentlicht. Die Schwachstelle wird unter dem Kürzel CVE-2017-0290 geführt.

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Die Microsoft Malware Protection Engine ist in zahlreichen Sicherheitsprodukten enthalten, darunter Windows Defender für Windows , Windows 8.1, Windows 10 und Windows Server 2016. Aber auch spezielle Unternehmenslösungen wie Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection sind von der Schwachstelle betroffen.

Innerhalb der nächsten 48 Stunden wird die Sicherheitsaktualisierung automatisch an die betroffenen Systeme ausgerollt. Administratoren sollten die Aktualisierungseinstellungen überprüfen und gegebenenfalls anpassen, sodass das Update eingespielt werden kann. Heimanwender erhalten das Update zusammen mit der Aktualisierung der Virendefinitionsdatei automatisch. Ist das Update erfolgt, trägt die Malware Protection Engine die Versionsnummer 1.1.13704.0.

Entdeckt wurde die Schwachstelle von den Google-Sicherheitsspezialisten Natalie Silvanovich und Tarvis Ormandy. Das zur Sicherheitslücke CVE-2017-0290 veröffentlichte Formular enthält zwar noch keine detaillierten Angaben. Ormandy hatte Details aber vor wenigen Tagen im Rahmen von Googles Project Zero veröffentlicht. Demnach sind Lücken in der Malware Protection Engine besonders kritisch, da diese nicht in einer Sandbox läuft und Angreifer Zugriff auf die Komponente erhalten, indem sie einfache eine E-Mail an das Zielobjekt schicken. Die E-Mail zu lesen oder einen Anhang zu öffnen, sei dabei nicht nötig. Ormandy hat daher diese Lücke auch mit „crazy bad“ bezeichnet.

Laut Der Entdecker steckt der Fehler in NScript, einer Komponente der Malware Protection Engine, die sämtliche Dateisystem- und Netzwerkaktivitäten untersucht. Die Funktion JsDelegateObject_Error::toString() validiert offenbar bestimmte Informationen nicht, bevor sie diese zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() gibt. Ormandy hat einen Proof-of-Concept-Code veröffentlicht, der die Schwachstelle offenlegt, warnt aber davor, dass der Download der Datei zu einem sofortigen Absturz der Malware Protection Engine (MsMPEng) führt.

HIGHLIGHT

Windows 10 Creators Update – das sind die Neuerungen

Windows 10 1703 Creators Update bietet zahlreiche Neuerungen für die Oberfläche und die Sicherheit von Windows 10. Und mit Redstone 3 steht bereits die nächste Aktualisierung vor der Tür.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft schließt kritische Sicherheitslücke in Malware Protection Engine

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *