Microsoft schließt kritische Sicherheitslücke in Malware Protection Engine

Microsoft hat eine kritische Lücke in seiner Virenschutz-Komponente Malware Protection Engine geschlossen. Betroffen sind die Versionen  1.1.13701.0 und früher. Laut Security Bulletin ist es möglich, schadhaften Code einzuschleusen und das System komplett zu übernehmen, wenn der in zahlreichen Produkten integrierte Virenschutz eine „speziell bearbeitete Datei“ untersucht. Was Microsoft mit „speziell bearbeitete Datei“ meint, hat es nicht veröffentlicht. Die Schwachstelle wird unter dem Kürzel CVE-2017-0290 geführt.

Die Microsoft Malware Protection Engine ist in zahlreichen Sicherheitsprodukten enthalten, darunter Windows Defender für Windows , Windows 8.1, Windows 10 und Windows Server 2016. Aber auch spezielle Unternehmenslösungen wie Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection sind von der Schwachstelle betroffen.

Innerhalb der nächsten 48 Stunden wird die Sicherheitsaktualisierung automatisch an die betroffenen Systeme ausgerollt. Administratoren sollten die Aktualisierungseinstellungen überprüfen und gegebenenfalls anpassen, sodass das Update eingespielt werden kann. Heimanwender erhalten das Update zusammen mit der Aktualisierung der Virendefinitionsdatei automatisch. Ist das Update erfolgt, trägt die Malware Protection Engine die Versionsnummer 1.1.13704.0.

Entdeckt wurde die Schwachstelle von den Google-Sicherheitsspezialisten Natalie Silvanovich und Tarvis Ormandy. Das zur Sicherheitslücke CVE-2017-0290 veröffentlichte Formular enthält zwar noch keine detaillierten Angaben. Ormandy hatte Details aber vor wenigen Tagen im Rahmen von Googles Project Zero veröffentlicht. Demnach sind Lücken in der Malware Protection Engine besonders kritisch, da diese nicht in einer Sandbox läuft und Angreifer Zugriff auf die Komponente erhalten, indem sie einfache eine E-Mail an das Zielobjekt schicken. Die E-Mail zu lesen oder einen Anhang zu öffnen, sei dabei nicht nötig. Ormandy hat daher diese Lücke auch mit „crazy bad“ bezeichnet.

Laut Der Entdecker steckt der Fehler in NScript, einer Komponente der Malware Protection Engine, die sämtliche Dateisystem- und Netzwerkaktivitäten untersucht. Die Funktion JsDelegateObject_Error::toString() validiert offenbar bestimmte Informationen nicht, bevor sie diese zur Weiterverarbeitung an JsRuntimeState::triggerShortStrEvent() gibt. Ormandy hat einen Proof-of-Concept-Code veröffentlicht, der die Schwachstelle offenlegt, warnt aber davor, dass der Download der Datei zu einem sofortigen Absturz der Malware Protection Engine (MsMPEng) führt.