Microsoft patcht schwere Sicherheitslücken in Malware Protection Engine

Microsoft liefert außerplanmäßig einen Patch für zwei kritische Fehler in seiner Malware Protection Engine aus. Diese Virenschutzkomponente kommt unter anderem in seiner Sicherheitssoftware Windows Defender zum Einsatz, die unter Windows 10 und auch früheren Versionen des Betriebssystems vorinstalliert ist. Entdeckt und gemeldet wurden die Sicherheitslöcher vom National Cyber Security Centre (NCSC).

Diese Abteilung der britischen Geheimdienstzentrale GCHQ hat die Aufgabe, die Regierung ebenso wie der Öffentlichkeit hinsichtlich von Cyberbedrohungen zu beraten und mögliche Schutzmaßnahmen zu empfehlen. In diesem Fall entschied sich eine Geheimdienstorganisation nicht dafür, die Sicherheitslücken zu verschweigen und längerfristig für ihre eigenen Zwecke zu nutzen.

Eine NCSC-Untersuchung enthüllte zwei schwerwiegende Lücken, die Remotecodeausführung erlauben. Enthalten waren sie ausgerechnet in der Microsoft Malware Protection Engine (MsMPEng), die dem Schutz der Anwender dienen soll. Es sind zudem nicht die ersten in dieser Virenschutzkomponente entdeckten Lücken, die auch in zahlreichen weiteren Sicherheitsprodukten Microsofts genutzt wird,

Im Mai dieses Jahres musste Microsoft mit einem Notfall-Patch eine gravierende Zero-Day-Lücke in der Malware Protection Engine schließen, die von Sicherheitsforschern bei Googles Project Zero gemeldet wurde. Sie erlaubte Angreifen mittels einer „speziell gestalteten Datei“, Code einzuschleusen und das System komplett zu übernehmen. „Anfälligkeiten in MsMpEng gehören zu den schlimmstmöglichen in Windows“, merkten die Forscher von Project Zero damals an. Demnach sind Lücken in der Malware Protection Engine besonders kritisch, da diese nicht in einer Sandbox läuft und Angreifer leicht Zugriff auf sie erhalten.

Die jetzt neu gemeldeten Bugs werden unter den Kürzeln CVE-2017-11937 sowie CVE-2017-11940 geführt. Sie können zu einer Speicherkorruption führen, wenn die Malware Protection Engine eine speziell gestaltete Datei überprüft. „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code im Sicherheitskontext des lokalen Systemkontos ausführen und die Kontrolle über das System erhalten“, erläutert Microsoft. „Ein Angreifer könnte dann Programme installieren, betrachten, verändern oder löschen. Auch könnte er neue Konten mit vollen Benutzerrechten erstellen.“

Ausnutzen könnten Angreifer die Anfälligkeit etwa, indem sie zu einer bösartig präparierten Website locken. Sie könnten die speziell gestaltete Datei aber auch per E-Mail oder Instant Message schicken – und nach deren Öffnung würde die Malware sie automatisch scannen. Möglich wäre auch, die für den Angriff eingesetzte Datei in einem gemeinsam genutzten Speicherort auf einem Server zu platzieren, der von der Engine überprüft wird.

Neben Windows Defender für alle unterstützen Windows-PC- und Windows-Server-Plattformen betrifft die Schwachstelle auch Windows Intune Endpoint Protection, Security Essentials, Forefront, Endpoint Protection sowie Exchange Server 2013 and 2016. Laut Microsoft wurden die Bugs jedoch noch nicht öffentlich gemacht und nach bisheriger Kenntnis auch nicht ausgenutzt. Sie sollen innerhalb von 48 Stunden durch automatisch an die betroffenen Systeme ausgerollte Updates behoben werden.

[mit Material von Liam Tung, ZDNet.com]