Microsoft hat kürzlich die Sicherheitsempfehlung 4022344 veröffentlicht, in der eine schwerwiegende Sicherheitsanfälligkeit in der Malware Protection Engine angekündigt wird.

Microsoft Malware Protection Engine

Dieses Tool wird von verschiedenen Microsoft-Produkten wie Windows Defender und Microsoft Security Essentials auf Consumer-PCs verwendet. Es wird auch von Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection oder Windows Intune Endpoint Protection auf der Unternehmensseite verwendet.

Die Sicherheitsanfälligkeit, die alle diese Produkte betrifft, kann Remotecodeausführung ermöglichen, wenn ein Programm, das die Microsoft Malware Protection Engine ausführt, eine gestaltete Datei gescannt hat.

Windows Defender Schwachstelle behoben

Tavis Ormandy und Natalie Silvanovich von Google Project Zero entdeckten am 6. Mai 2017 den „schlimmsten Windows-Remotecode-Exec in der jüngsten Vergangenheit“. Die Forscher machten Microsoft auf diese Sicherheitsanfälligkeit aufmerksam, und die Informationen wurden der Öffentlichkeit vorenthalten, um das Unternehmen zu informieren 90 Tage, um das Problem zu beheben.

Microsoft erstellte schnell einen Patch und verteilte neue Versionen von Windows Defender und mehr an die Benutzer.

Windows-Kunden, bei denen die betroffenen Produkte auf ihren Geräten ausgeführt werden, müssen sicherstellen, dass sie aktualisiert werden.

Aktualisieren Sie das Programm unter Windows 10

• Tippen Sie auf die Windows-Taste, geben Sie Windows Defender ein und drücken Sie die Eingabetaste, um das Programm zu laden.
• Wenn Sie das Windows 10 Creators Update ausführen, erhalten Sie das neue Windows Defender-Sicherheitscenter.
• Klicken Sie auf das Zahnradsymbol.
• Wählen Sie auf der nächsten Seite Info aus.
• Überprüfen Sie die Engine-Version, um sicherzustellen, dass es mindestens 1.1.13704.0 ist.

Windows Defender-Updates sind über Windows Update verfügbar. Weitere Informationen zum manuellen Aktualisieren von Microsoft-Anti-Malware-Produkten finden Sie im Malware Protection Center auf der Microsoft-Website.

Google-Schwachstellenbericht auf der Project Zero-Website

Hier ist es:

Sicherheitslücken in MsMpEng gehören zu den schwerwiegendsten unter Windows, da der Dienst über Berechtigungen, Zugriffsrechte und Allgegenwart verfügt.

Die Kernkomponente von MsMpEng, die für das Scannen und Analysieren zuständig ist, heißt mpengine. Mpengine ist eine große und komplexe Angriffsfläche, die Handler für Dutzende von esoterischen Archivformaten, ausführbare Packer und Kryptoren, vollständige Systememulatoren und Interpreter für verschiedene Architekturen und Sprachen usw. umfasst. Der gesamte Code ist für entfernte Angreifer zugänglich.

NScript ist die Komponente von mpengine, die alle Dateisystem- oder Netzwerkaktivitäten auswertet, die wie JavaScript aussehen. Dies ist ein nicht mit Sandboxen versehener und hochprivilegierter JavaScript-Interpreter, mit dem nicht vertrauenswürdiger Code standardmäßig auf allen modernen Windows-Systemen ausgewertet wird. Das ist so überraschend, wie es sich anhört.