mpengine.dll: Schwere Sicherheitslücke in Windows 7-10
In Micosofts Virenscanner-Engine klafft eine extrem schwere Lücke, die seit Windows 7 in Form des Defender fester Bestandteil des Betriebssystems ist. In älteren Windows-Versionen ist sie Teil des gleichnamigen Antispyware-Programms sowie in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE).
Die Engine scannt vom System verarbeitete Daten vor der Ausführung auf Schadcode. Erkennt diese den Inhalt von Netzwerkpaketen oder Dateien als JavaScript-Code, führt sie ihn zu Analysezwecken ohne Sandbox aus.
Der Code kann also ohne weiteres ausbrechen. Dabei wird der Schadcode dann mit vollen SYSTEM Rechten ausgeführt.
Die Lücke ist deshalb so schlimm, weil Angreifer schon durch einfache Emails oder Verlinkungen das Ausführen von Schadcode ermöglichen, OHNE dabei Anhänge öffnen zu müssen.
Das Laden einer einfachen Webseite würde ausreichen um damit tausende Computer innerhalb von kurzer Zeit zu infizieren.
Zwar besitzt der Antimalware Service Executable im Windows Defender eine Heuristik um Schadsoftware vorher zu erkennen bzw unschädliche Scripte, welche dann ganz normal ausgeführt werden, aber diese lässt sich leicht austricksen, in dem einfach Kommentaranweisungen oder auffälliger Code beigefügt werden - so dass die msegine den Schadcode zu Testzwecken ausführt.
Microsoft hat da mal schnell reagiert und prompt ein Update herausgebraucht. Anwender und Admins wird dringend geraten die Updates so schnell wie möglich zu installieren, da es sich nur um wenige Stunden handeln wird bis diese Lücke aktiv im Netz verwendet wird.
Betroffen sind alle Versionen der Microsoft Malware Protection Engine vor Version 1.1.10701.0
Details zur Lücke und Beispiele zur Anwendung zeigt das Google Sicherheitsteam: 1252 - MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more. - project-zero - Monorail
Die Engine scannt vom System verarbeitete Daten vor der Ausführung auf Schadcode. Erkennt diese den Inhalt von Netzwerkpaketen oder Dateien als JavaScript-Code, führt sie ihn zu Analysezwecken ohne Sandbox aus.
Der Code kann also ohne weiteres ausbrechen. Dabei wird der Schadcode dann mit vollen SYSTEM Rechten ausgeführt.
Das Laden einer einfachen Webseite würde ausreichen um damit tausende Computer innerhalb von kurzer Zeit zu infizieren.
Zwar besitzt der Antimalware Service Executable im Windows Defender eine Heuristik um Schadsoftware vorher zu erkennen bzw unschädliche Scripte, welche dann ganz normal ausgeführt werden, aber diese lässt sich leicht austricksen, in dem einfach Kommentaranweisungen oder auffälliger Code beigefügt werden - so dass die msegine den Schadcode zu Testzwecken ausführt.
Microsoft hat da mal schnell reagiert und prompt ein Update herausgebraucht. Anwender und Admins wird dringend geraten die Updates so schnell wie möglich zu installieren, da es sich nur um wenige Stunden handeln wird bis diese Lücke aktiv im Netz verwendet wird.
Betroffen sind alle Versionen der Microsoft Malware Protection Engine vor Version 1.1.10701.0
Details zur Lücke und Beispiele zur Anwendung zeigt das Google Sicherheitsteam: 1252 - MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more. - project-zero - Monorail
Kommentare
Ich werde auch Stück für Stück von Windows zu Linux umstellen. Nicht nur Leistung sondern auch die schlechte Programmierung von Windows ist einfach nicht mehr tragbar.(In Bezug auf "small is beautyful") :/
#4 30. Mai 2017
Eine neue kritische Lücke: wieder in der Malware Protection Engine. Jeder sollte das Update machen und prüfen ob er mindestens Version 1.1.13804.0 des Moduls installiert hat. Betroffen sind abermals alle Versionen von Windows.
Die Lücke ist ebenfalls extrem kritisch, da Angreifer ohne weiteres dazutun des Anwenders den PC kapern könnten.
Die Lücke ist ebenfalls extrem kritisch, da Angreifer ohne weiteres dazutun des Anwenders den PC kapern könnten.