Microsoft stopft erneut kritisches Loch in seiner Malware Protection Engine

Der Google-Sicherheitsforscher Tavis Ormandy hat erneut ein Sicherheitsleck in der Microsoft Malware Protection Engine entdeckt. Microsoft stuft die Anfälligkeit als kritisch ein. Ein Angreifer kann nach Angaben des Unternehmens unter Umständen beliebigen Schadcode einschleusen und mit Systemrechten ausführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Laut Microsofts Security Advisory muss einer anfälligen Version der Malware Protection Engine lediglich eine speziell präparierte Datei untergeschoben werden. Das sei beispielsweise über eine Website möglich oder einer E-Mail mit Dateianhang. Bei aktiviertem Echtzeit-Schutz werde die Datei automatisch gescannt, was zur Ausnutzung der Anfälligkeit führe. Bei deaktiviertem Echtzeit-Schutz müsse der Angreifer lediglich auf einen geplanten Scan warten.

Betroffen ist unter anderem die von Microsoft unter Windows 10 vorinstallierte Sicherheitssoftware Windows Defender. Auch die Version von Windows Defender für Windows 7 und Windows 8.1 nutzt die Malware Protection Engine. Weitere anfällige Sicherheitsprodukte sind Microsoft Security Essentials, Microsoft Endpoint Protection, Forefront Endpoint Protection, und Windows Intune Endpoint Protection.

Fehler nur in 32-Bit-Version&lt

Microsoft weist zudem darauf hin, dass sich der Fehler nur mit den 32-Bit-Versionen der Malware Protection Engine ausnutzen lässt. Für Nutzer von Windows 10 64-Bit sollte also keine Gefahr bestehen, da bei ihnen die 64-Bit-Version von Windows Defender installiert ist.

Laut einem Eintrag im Chromium-Bugtracker informierte Ormandy Microsoft über die Sicherheitslücke am 7. Juni. Bereits am 19. Juni teilte das Unternehmen dem Google-Forscher mit, dass ein Fix im Lauf der Woche veröffentlicht werde.

Das Update, das den Fehler in der Malware Protection Engine behebt, hat Microsoft inzwischen ausgeliefert. Die neue Version 1.1.13903.0, die man unter Einstellungen – Updates und Sicherheit Windows Defender überprüfen kann, behebt den Fehler.

Ormandy sucht nach eigenen Angaben unter Linux nach Fehlern in Microsoft Defender beziehungsweise der Malware Protection Engine. Dafür portierte er im Rahmen eines Projekts, das die Nutzung von Windows-Bibliotheken unter Linux ermöglichen soll, Windows Defender auf Linux. Die Bugs selbst findet er mithilfe einer Fuzzing genannten Technik. Durch die Eingabe großer Mengen zufälliger Daten in ein System, mit dem Ziel, einen Absturz auszulösen, lassen sich Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.