mpengine.dll: Schwere Sicherheitslücke in Windows 7-10

Artikel von Jonas Hubertus am 9. Mai 2017 um 14:51 Uhr im Forum Windows

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

mpengine.dll: Schwere Sicherheitslücke in Windows 7-10

9. Mai 2017   Jonas Hubertus  
In Micosofts Virenscanner-Engine klafft eine extrem schwere Lücke, die seit Windows 7 in Form des Defender fester Bestandteil des Betriebssystems ist. In älteren Windows-Versionen ist sie Teil des gleichnamigen Antispyware-Programms sowie in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE).

Die Engine scannt vom System verarbeitete Daten vor der Ausführung auf Schadcode. Erkennt diese den Inhalt von Netzwerkpaketen oder Dateien als JavaScript-Code, führt sie ihn zu Analysezwecken ohne Sandbox aus.

msengine-microsoft-defender-essential-nscript.jpg

Der Code kann also ohne weiteres ausbrechen. Dabei wird der Schadcode dann mit vollen SYSTEM Rechten ausgeführt.
Die Lücke ist deshalb so schlimm, weil Angreifer schon durch einfache Emails oder Verlinkungen das Ausführen von Schadcode ermöglichen, OHNE dabei Anhänge öffnen zu müssen.

Das Laden einer einfachen Webseite würde ausreichen um damit tausende Computer innerhalb von kurzer Zeit zu infizieren.

Zwar besitzt der Antimalware Service Executable im Windows Defender eine Heuristik um Schadsoftware vorher zu erkennen bzw unschädliche Scripte, welche dann ganz normal ausgeführt werden, aber diese lässt sich leicht austricksen, in dem einfach Kommentaranweisungen oder auffälliger Code beigefügt werden - so dass die msegine den Schadcode zu Testzwecken ausführt.

Microsoft hat da mal schnell reagiert und prompt ein Update herausgebraucht. Anwender und Admins wird dringend geraten die Updates so schnell wie möglich zu installieren, da es sich nur um wenige Stunden handeln wird bis diese Lücke aktiv im Netz verwendet wird.

Betroffen sind alle Versionen der Microsoft Malware Protection Engine vor Version 1.1.10701.0

Details zur Lücke und Beispiele zur Anwendung zeigt das Google Sicherheitsteam: 1252 - MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more. - project-zero - Monorail
 

Kommentare

#2 15. Mai 2017
Zuletzt bearbeitet: 15. Mai 2017
Ich werde auch Stück für Stück von Windows zu Linux umstellen. Nicht nur Leistung sondern auch die schlechte Programmierung von Windows ist einfach nicht mehr tragbar.(In Bezug auf "small is beautyful") :/
 
#3 15. Mai 2017
Wenn man dann noch an die NSA Lücken denkt die ausgenutzt werden (Krypto-Trojaner WannaCry)... ist Windows wohl das unsicherste Betriebssystem.
 
klaiser gefällt das.