Microsoft musste eine sehr große Lücke in der Antiviren-Engine von Windows beseitigen. Angreifbare Systeme können durch diese Lücke auf sehr vielfältige Weise infiziert werden. Alle Windows-Versionen sowie Microsoft Security Essentials sind betroffen.
Microsoft musste mit einem Notfall-Patch eine sehr kritische Sicherheitslücke in beinahe allen Windows-Versionen schließen (inklusive Server). Die Lücke könnten Angreifer nutzen, um ein System zu infiltrieren.
Lücke klafft in Virenschutz-Engine
Die sogenannte Lücke befindet sich in der Microsoft Virenscan Engine (Defender).
Diese ist seit Windows 8 fixer Bestandteil des Betriebssystems. In den älteren Windows-Versionen ist die Engine Teil des MSE (Microsoft Security Essential).
Die Engine untersucht vom System verarbeitete Daten vor der Ausführung auf Schadcode. Hält die Engine den Inhalt von Netzwerkpaketen oder Dateien etwa für JavaScript-Code, führt sie ihn zu Analysezwecken aus.
Die Entdeckung der Lücke wurde von Google-Forschern vergangenen Freitag über Twitter bekannt gegeben. Die Microsoft Malware Protection Engine (MsMpEn) macht hier allerdings einen kritischen Fehler, wie der Bericht der Google-Forscher nachweist.
Es kommt dabei unter bestimmten Umständen zu einer sogenannten Type Confusion.
Eine Funktion des JavaScript-Interpreters überprüft die Eingabewerte nicht ausreichend, was letztlich dazu führt, dass ein Angreifer die Kontrolle über den Prozess übernehmen kann. Fatalerweise läuft dieser Prozess mit SYSTEM-Rechten und wird nicht von einer Sandbox geschützt. Der Angreifer erlangt also höchstmögliche Rechte über das verwundbare System.
Vielfältige Angriffswege
Um die erwähnte Lücke auszunutzen, müsste ein Angreifer die Maleware Protection Engine dazu bringen, den Angriffscode zu verarbeiten, was einfach sei, da diese an vielen Stellen aktiv wird. Es wäre schon ausreichend, dem potenziellen Opfer eine Mail zu schicken und sobald die Nachricht vom Mail-Client abgerufen wird, wird der Schadcode ausgeführt.
Das Mail muss nicht einmal angeklickt werden!
Genauso gut könnte der Angreifer sein Opfer auf eine angriffslustige Website locken. Auch Instant-Messenger-Nachrichten können für das Opfer fatale Folgen haben. Windows-Server sind gleichermaßen gefährdet: Hier kann ein Angreifer den verwundbaren Prozess etwa durch das Hochladen von Dateien in Gang setzen. Kurzum: Die verwundbare Engine ist omnipräsent, der Kreativität des Angreifers sind keine Grenzen gesetzt.
Folgende Produkte sind laut Microsoft betroffen:
• Windows 8 bis 10 (einschließlich RT)
• Microsoft Security Essentials
• Windows Defender for Windows 7 – 8.1 (einschließlich RT)
• Microsoft Forefront Endpoint Protection 2010
• Microsoft Endpoint Protection
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center Endpoint Protection
• Windows Intune Endpoint Protection
Angriffscode ist öffentlich – Prüfen Sie Ihren Versionsstand!
Microsoft hat in der Nacht auf Dienstag den 09.05.2017 bereits mit einem sehr schnellen Update für alle aktuellen Windows-Versionen die Sicherheitslücke geschlossen, die die beiden Forscher entdeckt haben.
Achten Sie immer darauf, die Engine Ihrer Antivirus-Software auf dem neuesten Stand zu haben.
Sicherheitslücken vorbeugen mit Cylance®
Solche und viele andere Sicherheitslücken ließen sich mit der richtigen Software einfach vermeiden.
Cylance® revolutioniert die Cyber-Sicherheit mit Produkten und Dienstleistungen, die die Ausführung fortgeschrittener, anhaltender Bedrohungen und Malware proaktiv verhindern und nicht reaktiv ermitteln. Ihre Technologie wird auf über vier Millionen Clients eingesetzt und schützt Hunderte von Unternehmenskunden weltweit, darunter Fortune-100-Organisationen und Regierungsinstitutionen.
Unter anderem gibt es folgende Lösungen:
PROTECT®
Es ist die einzige Enterprise-Endpunktlösung, die Bedrohungen in Echtzeit blockiert, bevor sie jemals Schaden anrichten.
CylanceV ®
Cylance V ist ein vielseitiges Tool zur Erkennung von Malware auf Endpunkten. Es nutzt die CylanceINFINITY ™ Cloud und die Kraft der künstlichen Intelligenz und maschinellen Lerntechniken, um Bedrohungen in Ihrem Unternehmen oder auf einem einzigen kompromittierten System auf Knopfdruck zu verfolgen.
Bei Fragen zur Beratung und Fragen zu den Produkten stehen wir Ihnen selbstverständlich zur Verfügung.