Microsoft schließt erneut kritische Lücke in Malware Protection Engine

Microsoft hat eine weitere kritische Anfälligkeit in seiner Malware Protection Engine korrigiert. Entdeckt wurde sie von Mitarbeitern von Googles Sicherheitsteam Project Zero, wie ThreatPost berichtet. Ein Angreifer konnte unter Umständen mithilfe einer speziell gestalteten ausführbaren Datei Schadcode einschleusen, sobald diese Datei vom Emulator der Malware Protection Engine gescannt wurde.

Die Microsoft Malware Protection Engine ist in zahlreichen Sicherheitsprodukten enthalten, darunter Windows Defender für Windows 7, Windows 8.1, Windows 10 und Windows Server 2016. Aber auch spezielle Unternehmenslösungen wie Forefront Endpoint Protection, System Center Endpoint Protection und Intune Endpoint Protection sind von der Schwachstelle betroffen.

Google informierte den Softwarekonzern am 12. Mai über die Schwachstelle, die das Unternehmen in der vergangenen Woche stillschweigend schloss. „Die MsMpEng beinhaltet einen vollwertigen x86-System-Emulator, der benutzt wird, um nicht vertrauenswürdige Dateien auszuführen, die wie Preinstallation Environment Executables aussehen“, führte Tavis Ormandy, Sicherheitsforscher bei Project Zero, dazu aus. „Der Emulator läuft als NTAuthority\System und ist nicht in einer Sandbox.“

Eine der vom Emulator unterstützten Win32-APIs erlaube es emuliertem Code, den Emulator selbst zu kontrollieren. Als Folge werde von einem Angreifer kontrollierter Code ausgeführt. Zudem sei es unter Umständen möglich, die Parameter für die Ausführung von Code zu verändern und Attribute und UFS-Metadaten zu lesen und zu setzen.

„Das war möglicherweise eine extrem gefährliche Anfälligkeit, aber wahrscheinlich nicht so leicht auszunutzen wie die frühere Zero-Day-Lücke, die vor zwei Wochen gepatcht wurde“, zitiert ThreatPost Udi Yavo, Gründer und CTO des Sicherheitsanbieters enSilo. Zudem sei es bemerkenswert, dass die Malware Protection Engine im Gegensatz zu anderen Microsoft-Anwendungen wie Edge nicht in einer Sandbox laufe. „Falls Sie eine Anfälligkeit ausnutzen können, ist das Spiel vorbei.“

Ormandy kritisierte indes nicht nur das Fehlen einer Sandbox, sondern auch die Funktion, die es der Malware Protection Engine erlaubt, APIs aufzurufen. Eigentlich sei die Aufgabe des Emulators, die CPU des Client-Systems nachzubilden. „Es ist nicht klar, warum Microsoft spezielle Befehle für den Emulator ermöglicht. Wenn Sie glauben, das klingt verrückt, dann sind Sie nicht allein“, ergänzte der Sicherheitsforscher.

Betroffene Nutzer der Sicherheitsprodukte von Microsoft müssen nichts unternehmen. Sie erhalten den Patch automatisch zusammen mit neuen Definitionen.

Anfang Mai hatte Microsoft bereits eine von Project Zero gemeldete kritische Schwachstelle in der Malware Protection Engine beseitigt. Ormandy bezeichnete die Lücke als „crazy bad“, weil es ausreichend war, dem Zielobjekt eine E-Mail zu schicken. Es war jedoch nicht nötig, die E-Mail zu lesen oder einen Anhang zu öffnen, um Schadcode aus der Ferne einzuschleusen und auszuführen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago