Microsoft liefert außerplanmäßigen Notfall-Patch aus

Microsoft schließt eine als “kritisch” eingestufte Sicherheitslücke in den Versionen 1.1.13701.0 und früher seiner Malware Protection Engine. Die Virenschutz-Komponente ist unter anderem in Windows Defender, Windows 8.1, Windows 10 und Windows Server 2016 integriert. Die von den Google-Sicherheitsforschern Natalie Silvanovich und Tarvis Ormandy entdeckte Schwachstelle trägt die Kennung CVE-2017-0290. Sie findet sich auch in Unternehmenslösungen von Microsoft, darunter Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection.

Updates Patches (Bild: Shutterstock/Pavel Ignatov)

Silvanovich und Ormandy haben einen ausführlichen Bericht zu der Lücke erst angekündigt, aber zuvor schon Microsoft informiert und dessen schnelle Reaktion gelobt. Den Entdeckern zufolge steckt der Fehler in NScript. Diese Komponente der Malware Protection Engine untersucht sämtliche Dateisystem- und Netzwerkaktivitäten. Offenbar validiert die Funktion JsDelegateObject_Error::toString() manche Informationen nicht, bevor sie zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() übergeben werden. Ormandy hat bereits einen Proof-of-Concept-Code veröffentlicht. Allein der Download führe aber bereits zum Absturz der Malware Protection Engine (MsMPEng).

Wie Microsoft in einem Security Bulletin mitgeteilt hat kann die Schwachstelle ausgenutzt werden, um Code einzuschleusen und das System komplett zu übernehmen. Dazu sei es lediglich erforderlich, dem Programm eine “speziell bearbeitete Datei” vorzulegen. Was das genau bedeutet, führt Microsoft nicht aus. Der in zahlreichen Produkten integrierte Virenschutz untersucht Dateien generell beim Eingang im Hintergrund auch ohne Zutun des Nutzers. Der hat also kaum eine Möglichkeit, eine Infektion zu verhindern.

Laut Microsoft soll die Sicherheitsaktualisierung innerhalb der nächsten 48 Stunden automatisch an betroffene Systeme verteilt werden. Damit das Update eingespielt werden kann, sollten Administratoren die Aktualisierungseinstellungen überprüfen anpassen und gegebenenfalls. Private Anwender bekommend das Update automatisch zusammen mit der Aktualisierung der Virendefinitionsdatei. Ob es angekommen ist, lässt sich daran erkennen, dass die Malware Protection Engine dann die Versionsnummer 1.1.13704.0 aufweist.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Zur Sicherheitslücke CVE-2017-0290 sind in der Schwachstellendatenbank noch keine detaillierten Angaben verfügbar. Allerdings hatte Google-Forscher Ormandy vor einigen Tagen im Rahmen von Googles Project Zero bereits einige Einzelheiten veröffentlicht. Die Lücken in der Malware Protection Engine sind demnach besonders gefährlich, weil diese außerhalb einer Sandbox läuft. Angreifer erhalten Zugriff auf die Komponente, indem sie eine E-Mail an das Zielobjekt schicken. Es sei nicht einmal erforderlich, die E-Mail zu lesen oder den Anhang zu öffnen.

[mit Material von Kai Schmerer, ZDNet.de]

Redaktion

View Comments

    • Danke für den Hinweis. Sie haben Recht. In der Versionsnummer war eine 9 zuviel hineingerutscht. Ist korrigiert.
      Peter Marwan
      Redaktion silicon.de

Recent Posts

GEBHARDT Intralogistics setzt bei IT-Transformation auf S/4HANA

Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.

2 Tagen ago

Elisabeth-Klinik Bigge setzt für Verwaltung von iPads auf Jamf Pro und Apple Business Manager

Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.

2 Tagen ago

Malware Ranking Februar: AsyncRAT sorgt in Deutschland für wirtschaftliche Schäden

Der aufstrebende Trojaner wird in professionellen Kampagnen eingesetzt, die Plattformen wie TryCloudflare und Dropbox zur…

2 Tagen ago

KI-Wettrennen: Deutschland muss aufholen

Investitionsbemühungen der Unternehmen werden nur erfolgreich sein, wenn sie die Datenkomplexität, -sicherheit und -nachhaltigkeit bewältigen…

3 Tagen ago

Fakten statt Fiktion: Was tun gegen KI-Halluzinationen und -Bias?

Generative KI kann falsch liegen oder vorurteilsbehaftete Ergebnisse liefern. Maßnahmen, mit denen Unternehmen das Risiko…

3 Tagen ago

Deutsche Wirtschaft räumt Versäumnisse ein

82 Prozent der Unternehmen sind der Meinung, die aktuelle Konjunkturkrise sei auch eine Krise zögerlicher…

3 Tagen ago