Kritische Lücke in Malware Protection Engine 08.12.2017, 17:32 Uhr

Microsoft verteilt Notfall-Patch

In Microsofts Malware Protection Engine hat sich (wieder einmal) eine kritische Lücke eingeschlichen. Der Fehler erlaubt Angreifern, Remote Code auszuführen. Ein Notfall-Patch für betroffene Systeme wird bereits verteilt.
(Quelle: Ton Snoei / Shutterstock.com)
Microsoft hat eine kritische Lücke in seiner Malware Protection Engine (MPE) entdeckt, die Angreifern die Ausführung von Remote Code ermöglicht. Momentan wird von den Redmondern bereits ein Notfall-Patch verteilt, der betroffene Systeme wieder sicher machen soll.
Um die Lücke CVE-2017-11937 auszunutzen, müssen Angreifer die in zahlreichen Microsoft-Systemen implementierte MPE zum Scannen einer speziell präparierten Datei bewegen. Dies führt zu einem Speicherfehler, der wiederum das Ausführen des Schadcodes erlaubt.
Das Einschleusen der präparierten Datei kann dabei auf vielen Wegen erfolgen. So genügt es etwa, die Datei über eine E-Mail oder in einer Instant-Messenger-Nachricht auszuliefern. Beim Herunterladen wird diese in der Regel von der MPE gescannt. Darüber hinaus könnte ein Angreifer auch Hosting-Websites nutzen, um einen Angriff auf die Server des Anbieters zu starten. Denn beim Upload werden Dateien auf dem freigegebenen Speicherort ebenfalls überprüft.
Falls bei dem betroffenen System ein Echtzeitschutz aktiviert ist, kann die Attacke direkt erfolgen. Falls nicht, müssen die Angreifer auf eine periodische oder manuell angestossene Überprüfung warten.
Betroffen ist die MPE in Version 1.1.14306.0, die im Windows Defender, den Microsoft Security Essentials sowie in der Forefront Endpoint Protection und in Exchange Server installiert ist. Das Update auf die sichere Version 1.1.14405.2 wird automatisch an die betroffenen Lösungen verteilt.

Anfälliger Virenscanner

In der Vergangenheit sorgte Microsofts MPE schon mehrfach durch schwerwiegende Sicherheitslücken für Schlagzeilen. So mussten die Redmonder bereits im Mai zwei Notfall-Patches für ihre Sicherheitslösung verteilen. Auch damals genügte eine manipulierte Datei, um die MPE zu überlisten.




Das könnte Sie auch interessieren