Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Microsoft Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft Malware Protection Engine < 1.1.13704.0
Microsoft Security Essentials
Microsoft System Center Endpoint Protection
Microsoft Windows Defender
Windows Intune Endpoint Protection
Betroffene Plattformen:
Microsoft Windows 7
Microsoft Windows 8.1
Microsoft Windows 10
Microsoft Windows 10 1511
Microsoft Windows 10 1607
Microsoft Windows 10 1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2016
In der Microsoft Malware Protection Engine vor Version 1.1.13704.0 existiert
eine Schwachstelle bei der Überprüfung von Dateien. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und eine speziell präparierte
Datei bereitstellen, die bei der Überprüfung auf Viren oder Malware eine
Speicherkorruption verursacht und beliebigen Programmcode im Kontext des
Benutzerkontos 'LocalSystem' ausführt. Ist der Echtzeitschutz aktiviert, ist
die Schwachstelle direkt ausnutzbar. Bei deaktiviertem Echtzeitschutz muss
der Angreifer warten bis ein geplanter Scanvorgang ausgeführt wird oder die
Datei manuell gescannt wird.
Microsoft bestätigt die Schwachstelle in der Microsoft Malware Protection
Engine bis einschließlich Version 1.1.13701.0 und stellt die Version
1.1.13704.0 als Sicherheitsupdate bereit.
Die Microsoft Malware Protection Engine ist integrierter Bestandteil
zahlreicher Anti-Malware Produkte von Microsoft. Betroffen sind unter
anderem die Produkte Microsoft Forefront Endpoint Protection 2010, Microsoft
Endpoint Protection, Microsoft Forefront Security for SharePoint Service
Pack 3, Microsoft System Center Endpoint Protection, Microsoft Security
Essentials, Windows Defender for Windows 7, Windows 8.1, Windows RT 8.1,
Windows 10, Windows 10 1511, Windows 10 1607, Windows 10 1703 und Windows
Server 2016 sowie Windows Intune Endpoint Protection.
Patch:
Microsoft Security Advisory MSA-4022344 (Microsoft Malware Protection
Engine)
https://technet.microsoft.com/en-us/library/security/4022344
CVE-2017-0290: Schwachstelle in Microsoft Malware Protection Engine
ermöglicht Systemübernahme
In der Microsoft Malware Protection Engine vor und einschließlich der
Version 1.1.13701.0 besteht eine Schwachstelle, die während des
Überprüfungsvorgangs (Scan) einer speziell gestalteten Datei auftreten und
zu einer Speicherkorruption führen kann. Eine erfolgreiche Ausnutzung der
Schwachstelle ermöglicht es, beliebigen Programmcode im Kontext des
Benutzerkontos ‘LocalSystem’ auszuführen, wodurch ein Angreifer in der Lage
ist, beliebige Programme zu installieren, Dateien zu ändern, zu löschen und
zu erstellen oder auch Benutzerkonten mit sämtlichen Rechten zu erstellen.
Um die Schwachstelle auszunutzen, muss der Angreifer einen Benutzer dazu
verleiten, eine von ihm präparierte Datei zu öffnen, die er beispielsweise
als Anhang in einer Email oder über einen Instant Messenger versendet, oder
die dem System des Benutzers durch den Besuch einer speziell zur Ausnutzung
der Schwachstelle gestaltete Webseite bereitgestellt wird. Ist bei einem
betroffenen System der Echtzeitschutz aktiviert, wird die Datei automatisch
durch die Malware Protection Engine überprüft und die Schwachstelle kann in
dem Prozessablauf ausgenutzt werden. Bei deaktiviertem Echtzeitschutz führt
erst ein geplanter oder manuell ausgeführter Scanvorgang zur Ausnutzung der
Schwachstelle.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0798/
Microsoft Security Advisory MSA-4022344 (Microsoft Malware Protection Engine):
https://technet.microsoft.com/en-us/library/security/4022344
Schwachstelle CVE-2017-0290 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0290
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
