Microsoft schließt eine als “kritisch” eingestufte Sicherheitslücke in den Versionen 1.1.13701.0 und früher seiner Malware Protection Engine. Die Virenschutz-Komponente ist unter anderem in Windows Defender, Windows 8.1, Windows 10 und Windows Server 2016 integriert. Die von den Google-Sicherheitsforschern Natalie Silvanovich und Tarvis Ormandy entdeckte Schwachstelle trägt die Kennung CVE-2017-0290. Sie findet sich auch in Unternehmenslösungen von Microsoft, darunter Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection.
Silvanovich und Ormandy haben einen ausführlichen Bericht zu der Lücke erst angekündigt, aber zuvor schon Microsoft informiert und dessen schnelle Reaktion gelobt. Den Entdeckern zufolge steckt der Fehler in NScript. Diese Komponente der Malware Protection Engine untersucht sämtliche Dateisystem- und Netzwerkaktivitäten. Offenbar validiert die Funktion JsDelegateObject_Error::toString() manche Informationen nicht, bevor sie zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() übergeben werden. Ormandy hat bereits einen Proof-of-Concept-Code veröffentlicht. Allein der Download führe aber bereits zum Absturz der Malware Protection Engine (MsMPEng).
Wie Microsoft in einem Security Bulletin mitgeteilt hat kann die Schwachstelle ausgenutzt werden, um Code einzuschleusen und das System komplett zu übernehmen. Dazu sei es lediglich erforderlich, dem Programm eine “speziell bearbeitete Datei” vorzulegen. Was das genau bedeutet, führt Microsoft nicht aus. Der in zahlreichen Produkten integrierte Virenschutz untersucht Dateien generell beim Eingang im Hintergrund auch ohne Zutun des Nutzers. Der hat also kaum eine Möglichkeit, eine Infektion zu verhindern.
Laut Microsoft soll die Sicherheitsaktualisierung innerhalb der nächsten 48 Stunden automatisch an betroffene Systeme verteilt werden. Damit das Update eingespielt werden kann, sollten Administratoren die Aktualisierungseinstellungen überprüfen anpassen und gegebenenfalls. Private Anwender bekommend das Update automatisch zusammen mit der Aktualisierung der Virendefinitionsdatei. Ob es angekommen ist, lässt sich daran erkennen, dass die Malware Protection Engine dann die Versionsnummer 1.1.13704.0 aufweist.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Zur Sicherheitslücke CVE-2017-0290 sind in der Schwachstellendatenbank noch keine detaillierten Angaben verfügbar. Allerdings hatte Google-Forscher Ormandy vor einigen Tagen im Rahmen von Googles Project Zero bereits einige Einzelheiten veröffentlicht. Die Lücken in der Malware Protection Engine sind demnach besonders gefährlich, weil diese außerhalb einer Sandbox läuft. Angreifer erhalten Zugriff auf die Komponente, indem sie eine E-Mail an das Zielobjekt schicken. Es sei nicht einmal erforderlich, die E-Mail zu lesen oder den Anhang zu öffnen.
[mit Material von Kai Schmerer, ZDNet.de]
Der aktuelle Threat Labs Report von Netskope zeigt die Hauptrisiken und enthüllt die wichtigsten Angreifergruppen.
Unternehmen sind branchenübergreifend auf biometrische Identifizierungssysteme angewiesen, um Zugänge möglichst sicher und komfortabel zu gestalten.
Bei der Qualitätssicherung generativer KI reichen herkömmliche Methoden nicht mehr aus. Da hilft nur eine…
Analyse von Webhosting-Dienstleister Hostinger: Microsoft, Meta und OpenAI verzeichnen die meisten gemeldeten Cyberattacken.
Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.
Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.
View Comments
Schreibfehler bitte korrigieren. Die verwundbare Version ist die 1.1.13701.0
Danke für den Hinweis. Sie haben Recht. In der Versionsnummer war eine 9 zuviel hineingerutscht. Ist korrigiert.
Peter Marwan
Redaktion silicon.de