Microsoft liefert außerplanmäßigen Notfall-Patch aus

Microsoft schließt eine als “kritisch” eingestufte Sicherheitslücke in den Versionen 1.1.13701.0 und früher seiner Malware Protection Engine. Die Virenschutz-Komponente ist unter anderem in Windows Defender, Windows 8.1, Windows 10 und Windows Server 2016 integriert. Die von den Google-Sicherheitsforschern Natalie Silvanovich und Tarvis Ormandy entdeckte Schwachstelle trägt die Kennung CVE-2017-0290. Sie findet sich auch in Unternehmenslösungen von Microsoft, darunter Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection.

Silvanovich und Ormandy haben einen ausführlichen Bericht zu der Lücke erst angekündigt, aber zuvor schon Microsoft informiert und dessen schnelle Reaktion gelobt. Den Entdeckern zufolge steckt der Fehler in NScript. Diese Komponente der Malware Protection Engine untersucht sämtliche Dateisystem- und Netzwerkaktivitäten. Offenbar validiert die Funktion JsDelegateObject_Error::toString() manche Informationen nicht, bevor sie zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() übergeben werden. Ormandy hat bereits einen Proof-of-Concept-Code veröffentlicht. Allein der Download führe aber bereits zum Absturz der Malware Protection Engine (MsMPEng).

Wie Microsoft in einem Security Bulletin mitgeteilt hat kann die Schwachstelle ausgenutzt werden, um Code einzuschleusen und das System komplett zu übernehmen. Dazu sei es lediglich erforderlich, dem Programm eine “speziell bearbeitete Datei” vorzulegen. Was das genau bedeutet, führt Microsoft nicht aus. Der in zahlreichen Produkten integrierte Virenschutz untersucht Dateien generell beim Eingang im Hintergrund auch ohne Zutun des Nutzers. Der hat also kaum eine Möglichkeit, eine Infektion zu verhindern.

Laut Microsoft soll die Sicherheitsaktualisierung innerhalb der nächsten 48 Stunden automatisch an betroffene Systeme verteilt werden. Damit das Update eingespielt werden kann, sollten Administratoren die Aktualisierungseinstellungen überprüfen anpassen und gegebenenfalls. Private Anwender bekommend das Update automatisch zusammen mit der Aktualisierung der Virendefinitionsdatei. Ob es angekommen ist, lässt sich daran erkennen, dass die Malware Protection Engine dann die Versionsnummer 1.1.13704.0 aufweist.

Zur Sicherheitslücke CVE-2017-0290 sind in der Schwachstellendatenbank noch keine detaillierten Angaben verfügbar. Allerdings hatte Google-Forscher Ormandy vor einigen Tagen im Rahmen von Googles Project Zero bereits einige Einzelheiten veröffentlicht. Die Lücken in der Malware Protection Engine sind demnach besonders gefährlich, weil diese außerhalb einer Sandbox läuft. Angreifer erhalten Zugriff auf die Komponente, indem sie eine E-Mail an das Zielobjekt schicken. Es sei nicht einmal erforderlich, die E-Mail zu lesen oder den Anhang zu öffnen.

[mit Material von Kai Schmerer, ZDNet.de]