Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Microsoft Endpoint Protection
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Forefront Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Malware Protection Engine < 1.1.13804.0
Microsoft Security Essentials
Microsoft Windows Defender
Windows Intune Endpoint Protection
Betroffene Plattformen:
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation
Mehrere Schwachstellen in der Microsoft Malware Protection Engine
ermöglichen einem entfernten, nicht authentisierten Angreifer die
Durchführung von Denial-of-Service-Angriffen auf die Malware Protection
Engine und die Ausführung beliebigen Programmcodes mit erweiterten Rechten
und dadurch die komplette Kompromittierung eines betroffenen Systems. Die
Schwachstellen liegen in der Art und Weise begründet, in der die Malware
Protection Engine Dateien scannt. Der Angreifer kann die Schwachstellen mit
speziell präparierten Dateien ausnutzen, die von der Malware Protection
Engine verarbeitet werden. Falls der Echtzeitschutz auf dem System aktiviert
ist oder Sicherheitsscans nach Vorgabe regelmäßig durchgeführt werden, ist
keine Benutzerinteraktion zur Ausnutzung der Schwachstellen erforderlich.
Microsoft veröffentlicht eine 'Out-of-Band CVE Information' zu den
Schwachstellen und hat diese in einem automatisch zur Verfügung gestellten
Update der Malware-Definitionen und der Malware Protection Engine behoben.
Benutzer können prüfen, ob das Sicherheitsupdate automatisch installiert
wurde, indem sie die 'Informationen zur Bereitstellung des Microsoft-Moduls
zum Schutz vor schädlicher Software' konsultieren (Referenz anbei). Für
verschiedene Produkte stehen dabei verschiedene Anweisungen zur Verfügung.
Die Schwachstellen betreffen alle Versionen der Malware Protection Engine
bis inklusive 1.1.13704.0. Die erste Version, mit der die Schwachstellen
behoben sind, ist Version 1.1.13804.0. Falls diese oder eine spätere Version
nicht installiert ist, kann das Sicherheitsupdate manuell angewiesen werden.
Microsoft weist darauf hin, dass Windows Server 2008 R2 nicht betroffen ist,
falls das 'Desktop Experience'-Feature nicht installiert ist.
CVE-2017-8538 CVE-2017-8540 CVE-2017-8541: Schwachstellen in Microsoft
Malware Protection Engine ermöglichen komplette Systemübernahme
Über die Malware Protection Engine von Microsoft kann bei einem
Dateiscanvorgang beliebiger Programmcode zur Ausführung gebracht werden, da
es zu einer Speicherkorruption kommen kann. Ein entfernter, nicht
authentisierter Angreifer kann mehrere Schwachstellen mit Hilfe speziell
präparierter Dateien, die von der Malware Protection Engine gescannt werden,
ausnutzen, um beliebigen Programmcode mit den Rechten von 'LocalSystem'
auszuführen und dadurch betroffene Systeme komplett zu kompromittieren.
Falls der Echtzeitschutz aktiviert ist, ist zur Ausnutzung der
Schwachstellen keine Benutzerinteraktion erforderlich.
CVE-2017-8535 CVE-2017-8536 CVE-2017-8537 CVE-2017-8539 CVE-2017-8542:
Schwachstellen in Microsoft Malware Protection Engine ermöglichen
Denial-of-Service-Angriff
Die Malware Protection Engine von Microsoft kann bei einem Dateiscanvorgang
in einen Denial-of-Service-Zustand geraten. Ein entfernter, nicht
authentisierter Angreifer kann unterschiedliche Schwachstellen mit Hilfe
speziell präparierter Dateien, die von der Malware Protection Engine
gescannt werden, ausnutzen, um die Funktion der Software bis zum nächsten
Neustart derselben einzuschränken. Falls der Echtzeitschutz aktiviert ist,
ist zur Ausnutzung der Schwachstellen keine Benutzerinteraktion
erforderlich.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0928/
Microsoft Knowledge Base Artikel 2510781: Informationen zur Bereitstellung des
Microsoft-Moduls zum Schutz vor schädlicher Software:
https://support.microsoft.com/de-de/help/2510781/microsoft-malware-protection-engine-deployment-information
Schwachstelle CVE-2017-8535 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8535
Schwachstelle CVE-2017-8536 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8536
Schwachstelle CVE-2017-8537 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8537
Schwachstelle CVE-2017-8538 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8538
Schwachstelle CVE-2017-8538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8538
Schwachstelle CVE-2017-8539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8539
Schwachstelle CVE-2017-8540 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8540
Schwachstelle CVE-2017-8540 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8540
Schwachstelle CVE-2017-8541 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8541
Schwachstelle CVE-2017-8541 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8541
Schwachstelle CVE-2017-8542 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8542
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
