DFN-CERT-2017-2213 Microsoft Malware Protection Engine: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Windows]

DFN-CERT-2017-2213 Microsoft Malware Protection Engine: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Endpoint Protection
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Forefront Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Malware Protection Engine < 1.1.14405.2 Microsoft Security Essentials Microsoft Windows Defender Windows Intune Endpoint Protection Betroffene Plattformen: Microsoft Windows 7 SP1 x64 Microsoft Windows 7 SP1 x86 Microsoft Windows 8.1 x64 Microsoft Windows 8.1 x86 Microsoft Windows 10 x64 Microsoft Windows 10 x86 Microsoft Windows 10 x64 v1511 Microsoft Windows 10 x86 v1511 Microsoft Windows 10 x64 v1607 Microsoft Windows 10 x86 v1607 Microsoft Windows 10 x64 v1703 Microsoft Windows 10 x86 v1703 Microsoft Windows 10 x64 v1709 Microsoft Windows 10 x86 v1709 Microsoft Windows RT 8.1 Microsoft Windows Server v1709 (Server Core Installation) Microsoft Windows Server 2016 Microsoft Windows Server 2016 Server Core Installation Ein entfernter, nicht authentisierter Angreifer kann eine kritische Schwachstelle in der Malware Protection Engine und in allen Anti-Malware-Produkten, welche diese verwenden, ausnutzen, um beliebigen Programmcode mit Systemrechten ausführen zu lassen, wodurch er letztlich ein System komplett übernehmen kann. Hiervon primär betroffen sind alle Systeme, auf denen eine betroffene Anti-Malware-Software installiert ist. Letzte betroffene Version der Microsoft Malware Protection Engine ist Version 1.1.14306.0. Microsoft stellt mit der Microsoft Malware Protection Engine Version 1.1.14405.2 ein Sicherheitsupdate bereit, durch welches das Verhalten korrigiert wird, wie die Microsoft Malware Protection Engine speziell präparierte Dateien scannt. Der Hersteller weist darauf hin, dass normalerweise für Administratoren oder Endbenutzer keine Notwendigkeit besteht, Updates manuell zu installieren, weil der eingebaute Mechanismus zur automatischen Detektion und Anwendung von Updates diese innerhalb von 48 Stunden nach Veröffentlichung installieren sollte. Dabei hängt der exakte Zeitpunkt von der verwendeten Software, von der Internet-Verbindung und der Konfiguration der Infrastruktur ab. Patch: Microsoft Security Update Guide https://portal.msrc.microsoft.com/de-de/security-guidance/

CVE-2017-11937: Schwachstelle in Microsoft Malware Protection Engine
ermöglicht Ausführen beliebigen Programmcodes mit Systemrechten

In der Microsoft Malware Protection Engine existiert eine Schwachstelle,
wenn speziell präparierte Dateien durch diese nicht korrekt überprüft
(gescannt) werden, wodurch es zu einer Speicherkorruption (Memory
Corruption) kommen kann. Wenn für betroffene Anti-Malware-Software die
Real-Time-Protection angeschaltet ist, werden Dateien automatisch durch die
Microsoft Malware Protection Engine gescannt, sobald diese geöffnet werden,
anderenfalls tritt die Schwachstelle erst in Erscheinung, sobald ein
geplanter Scan stattfindet. Ein Angreifer kann diese Schwachstelle auf
verschiedene Weise ausnutzen, etwa indem er eine speziell präparierte Datei
an einem Ort ablegt, der von der Microsoft Malware Protection Engine
gescannt wird, wozu auch ein geteilter Speicherort zählen kann, der von der
Malware Protection Engine auf dem Hosting Server gescannt wird. Er kann eine
solche Datei beispielsweise auch über eine Webseite an das System eines
Opfers ausliefern, so dass diese gescannt wird, sobald die Webseite durch
den Benutzer angesehen wird. Alternativ kann der Angreifer eine speziell
präparierte Datei auch per E-Mail oder Instant Messenger versenden. Der
Angreifer kann durch Ausnutzen der Schwachstelle beliebigen Programmcode im
Sicherheitskontext des lokalen Systemkontos zur Ausführung bringen und
dadurch die Kontrolle über das System übernehmen. Der Angreifer kann dann
Programme installieren, Daten ansehen, verändern oder löschen sowie neue
Konten mit vollen Benutzerrechten anlegen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2213/

Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/de-de/security-guidance/

Microsoft December 2017 Security Updates (Microsoft Malware Protection Engine):
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/c383fa60-b852-e711-80dd-000d3a32f9b6

Schwachstelle CVE-2017-11937 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11937

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben