Neu von MSI

Wieder kritische Schwachstellen in Microsofts Malware Protection Engine

reported by doelf, Dienstag der 30.05.2017, 20:03:00 Uhr

Anfang Mai hatten Natalie Silvanovich und Tavis Ormandy von Googles Project Zero vor einer "irre gefährlichen" Sicherheitslücke (CVE-2017-0290) in Microsofts Malware Protection Engine (MsMpEng) gewarnt. Diese Schwachstelle wurde zwar schnell behoben, doch die grundsätzlichen Schwächen im Design von MsMpEng haben inzwischen weitere Angriffsvektoren offenbart.

Gefunden wurden diese neuen Sicherheitslücken ausnahmslos von Googles Project Zero, die Meldungen an Microsoft hatten zwischen dem 12. und 16. Mai 2017 stattgefunden:

  • CVE-2017-8535, CVE-2017-8536, CVE-2017-8537, CVE-2017-8538: Dieser Eintrag umfasst neun sicherheitsrelevante Fehler, von denen drei als kritisch zu bewerten sind. Die kritischen Lücken, darunter ein Heap-Überlauf, eine Heap-Manipulation und eine Speichermanipulation, lassen sich vermutlich zum Einschleusen von Schadcode missbrauchen. Harmloser sind vier Null-Zeiger-Dereferenzierungen, ein Teilen durch Null und eine Endlosschleife, denn hiermit wird der Dienst lediglich blockiert (DoS).
  • CVE-2017-8540: Ein kritischer UAF-Fehler (Use-After-Free) in der Garbage-Collection der integrierten JavaScript-Engine löscht Objekte, die sich danach noch von nativem Code aufrufen lassen. Diese Sicherheitslücke lässt sich von außen angreifen.
  • CVE-2017-8541: Noch ein kritischer UAF-Fehler (Use-After-Free), welchen die übereifrige Garbage-Collection der integrierten JavaScript-Engine verursacht.
  • CVE-2017-8542: Der integrierte x86-Emulator erlaubt dem emulierten Code, der ja eigentlich getestet werden soll, den Emulator über ntdll!NtControlChannel zu kontrollieren. Dabei läuft der Emulator mit Systemrechten ohne Sandbox. Auch dies stellt ein kritisches Problem dar.

Project Zero hält Details zu kritischen 0-Day-Lücken für 90 Tage unter Verschluss, doch abermals reagierte Microsoft schnell und außer der Reihe. Die Fehler wurden ohne besondere Ankündigung (und leider auch ohne Rückmeldung beim Project Zero) am 25. Mai 2017 in Form von MsMpEng 1.1.13804.0 behoben. Hier die zugehörigen Einträge in Microsofts Security Updates Guide:

Da der Security Updates Guide ein Haufen unausgegorener Mist ist, wird als Datum der Veröffentlichung der 9. Mai 2017, also der letzte offizielle Patch-Day, angezeigt. Lediglich ganz unten in den jeweiligen Einträgen findet sich der Hinweis, dass diese Sicherheits-Updates erst am 25. Mai 2017 außer der Reihe veröffentlicht wurden. Das ist, wie auch der restliche Security Updates Guide, völlig verwirrend.

Hintergrund zur Malware Protection Engine
Microsofts Malware Protection Engine (MsMpEng) ist seit Windows 8 und Server 2012 standardmäßig aktiviert und soll die Betriebssysteme vor Malware schützen. Auch viele Sicherheitsprodukte aus Redmond, beispielsweise Windows Defender, Microsoft Security Essentials, Forefront Security für SharePoint und Endpoint Protection, setzen auf MsMpEng. Der Dienst läuft mit den höchsten Systemrechten, er wird nicht von einer Sandbox abgeschirmt und lässt sich von außen ohne Authentifizierung über zahlreiche andere Dienste wie Exchange oder IIS ansteuern. Da MsMpEng einen Filtertreiber für das Dateisystem nutzt, kann die Malware-Erkennung auch auf ungelesene E-Mails und Mitteilungen, Downloads und Anhänge sowie temporäre Internetdateien zugreifen. Der Dienst kann selbst die exotischsten Dateiarten analysieren, darunter das Archivformat Zoo aus alten Amiga-Zeiten oder MagicISO UIF, ein proprietäres Format für CD- und DVD-Abbilder. Er kann auch Rechnerarchitekturen emulieren sowie diverse Programmiersprachen ausführen. Damit gibt es unzählige Möglichkeiten, um Angriffs-Code zu verstecken, der MsMpEng aus dem Tritt bringt. Solange Microsoft den Dienst nicht in eine abgesicherte Sandbox packt, werden wir wohl noch etliche Schwachstellen zu sehen bekommen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]