Sicherheitslücke entdeckt
Sie fixten im Open-Source-Code für RAR-Archive. Dabei schleusten die Microsoft-Entwickler eine eigene Sicherheitslücke in den Windows Defender und die firmeneigenen Sicherheitslösungen für Windows-Server ein. Das entdeckte Thomas Dullien alias Halvar Flake von Googles Project Zero, wie heise.de dazu berichtete.
Der Sicherheitsforscher erklärte, dass Microsofts Malware Protection Engine (MPE) offenbar Code aus einer älteren, geforkten Version des Tools unrar enthält. Um darin enthaltene Schwachstellen zu beheben, änderten Microsofts Entwickler die meisten zuvor mit Vorzeichen versehene ("signed") Integer-Variablen zu "unsigned" (vorzeichenlos). Anschließend entfernten sie kurzerhand eine Code-Passage, die ursprünglich der Vorzeichenüberprüfung diente.
Neue Sicherheitslücke entstanden
Die vorgenannten Schritte bildeten die Basis für eine neue Sicherheitslücke mit der Bezeichnung CVE-2018-0986. Sie wird als kritisch eingestuft und ermöglicht unter bestimmten Voraussetzungen die Codeausführung im Kontext der MPE durch einen entfernten Angreifer.
Wie weiter dazu verlautete, müssten potenzielle Angreifer laut Microsofts Sicherheitshinweis die MPE zum Scan einer speziell präparierten (beispielsweise als E-Mail-Anhang, Drive-by-Download oder via Phishing verteilten) RAR-Datei bewegen, um die Sicherheitslücke auszunutzen. Sofern der Echtzeitschutz aktiviert ist, geschieht dies bei jedem Datei-Download automatisch. Auch Server, auf denen die Engine läuft, könnten über die Lücke angegriffen werden – beispielsweise dann, wenn sie Nutzern den (RAR-)Datei-Upload ermöglichen.
Microsoft gibt Entwarnung
Ab Version 1.1.14700.5 ist die MPE gegen die Angriffsstrategie aus der Ferne abgesichert. Microsoft weist daraufhin, dass für Endnutzer und Admins normalerweise kein Handlungsbedarf besteht: Defender, Exchange Server, Forefront Endpoint Protection und Co. holen sich das entsprechende Update automatisch. Alternativ kann die MPE natürlich auch manuell aktualisiert werden.
Weiterführende Links:
Thomas Dullien: bugs.chromium.org: Windows Defender inspects a variety of different archive formats, among others RAR.
heise.de: Windows Defender verschluckt sich an RAR
