Außerplanmäßiger Patch
Im Zusammenhang mit der schweren Sicherheitslücke liefert Microsoft außerplanmäßig einen Patch für zwei kritische Fehler in seiner Malware Protection Engine aus, wie zdnet.de mitteilte. Diese Virenschutzkomponente kommt unter anderem in seiner Sicherheitssoftware Windows Defender zum Einsatz, die unter Windows 10 und auch früheren Versionen des Betriebssystems vorinstalliert ist. Entdeckt und gemeldet wurden die Sicherheitslöcher vom National Cyber Security Centre (NCSC).
Wie verlautet hat die Abteilung der britischen Geheimdienstzentrale GCHQ die Aufgabe, die Regierung ebenso wie der Öffentlichkeit hinsichtlich von Cyberbedrohungen zu beraten und mögliche Schutzmaßnahmen zu empfehlen. Im aktuellen Fall hatte sie sich dazu entschlossen, die Lücke nicht zu verschweigen und längerfristig für ihre eigenen Zwecke zu nutzen.
Schwerwiegende Sicherheitslücken
Die zwei schwerwiegenden Lücken, die eine NCSC-Untersuchung enthüllte, ermöglichen die Remotecodeausführung. Ausgerechnet in der Microsoft Malware Protection Engine, die eigentlich den Nutzer schützen soll, sind die Lücken nun aufgetaucht. Wie es dazu weiter heißt waren das nicht die ersten, die in dieser Virenschutzkomponente, die auch in zahlreichen weiteren Sicherheitsprodukten Microsofts genutzt wird, entdeckt wurden.
Bereits im Mai dieses Jahres war eine gravierende Schwachstelle mit einem Notfall-Patch geschlossen worden. Sie erlaubte Angreifen mittels einer „speziell gestalteten Datei“, Code einzuschleusen und das System komplett zu übernehmen. „Anfälligkeiten in MsMpEng gehören zu den schlimmstmöglichen in Windows“, merkten die Forscher von Project Zero damals an. Demnach sind Lücken in der Malware Protection Engine besonders kritisch, da diese nicht in einer Sandbox läuft und Angreifer leicht Zugriff auf sie erhalten.
Die neuen Bugs
Die neu gemeldeten Bugs sind
Sie können zu einer Speicherkorruption führen, wenn die Malware Protection Engine eine speziell gestaltete Datei überprüft.
Microsoft kommentiert dazu:
„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code im Sicherheitskontext des lokalen Systemkontos ausführen und die Kontrolle über das System erhalten“
„Ein Angreifer könnte dann Programme installieren, betrachten, verändern oder löschen. Auch könnte er neue Konten mit vollen Benutzerrechten erstellen.“
Mögliche Angriffsszenarien
Die möglichen Angriffsszenarien bestehen darin:
- Angreifer könnten die Anfälligkeit etwa, indem sie zu einer bösartig präparierten Website locken, ausnutzen.
- Sie könnten die speziell gestaltete Datei aber auch per E-Mail oder Instant Message schicken – und nach deren Öffnung würde die Malware sie automatisch scannen.
- Möglich wäre auch, die für den Angriff eingesetzte Datei in einem gemeinsam genutzten Speicherort auf einem Server zu platzieren, der von der Engine überprüft wird.
Betroffene Systeme
Neben Windows Defender für alle unterstützen Windows-PC- und Windows-Server-Plattformen betrifft die Schwachstelle auch Windows Intune Endpoint Protection, Security Essentials, Forefront, Endpoint Protection sowie Exchange Server 2013 and 2016.
Laut Microsoft wurden die Bugs jedoch noch nicht öffentlich gemacht und nach bisheriger Kenntnis auch nicht ausgenutzt. Sie sollen innerhalb von 48 Stunden durch automatisch an die betroffenen Systeme ausgerollte Updates behoben werden.
Weiterführende Links:
zdnet.de: Microsoft patcht schwere Sicherheitslücken in Malware Protection Engine
