04.04.2018 23:43

Updated 2018-04-04 - Microsoft Malware Protection Engine: Sicherheitsupdate behebt kritische Schwachstelle

Am 03.04.2018 hat Microsoft ein Update zur Behebung des kritischen Fehlers CVE-2018-0986 in der hauseigenen Antiviren-Software (Microsoft Malware Protection Engine), benutzt in zum Beispiel Windows Defender, Microsoft Security Essentials, Microsoft Intune Endpoint, Microsoft Forefront Endpoint 2010 sowie in Exchange Server 2013 und 2016 unter den Systemen Windows 7 bis Windows 10 beziehungsweise Windows Server 2008 R2 bis Windows Server 2016 veröffentlicht.

Das Ausnützen der Schwachstelle durch eine speziell präparierte Datei, die beim Scanvorgang durch die Antiviren-Software den Speicher korrumpiert, ermöglicht es einem Angreifer beliebigen Code im lokalen Kontext als "LocalSystem" auszuführen und die vollständige Kontrolle über das betroffene System zu erlangen.

Die schadhafte Datei kann hierbei zum Beispiel auf Internetseiten hochgeladen sein oder auch per Mail verschickt werden. Wenn die Datei bereits beim Betrachten der Internetseite beziehungsweise beim Erhalt der Mail gescannt wird, löst dies die Schwachstelle umgehend aus. Selbiges gilt für Datei- und Web-Server, die das Hochladen von Benutzerinhalten erlauben, wenn die bereitsgestellten Dateien durch die Antiviren-Software serverseitig gescannt werden. Somit ist erhöhte Vorsicht geboten.

Aber eben nur erhöhte Vorsicht ... kein Grund zur Panik.

Die automatische Update Funktion der Antiviren-Software ist durch Microsoft standardmäßig aktiviert. Das Update sollte damit bereits auf Systemen mit Internetzugang und nicht deaktiviertem automatischem Update installiert sein. Weiters ist die Methode zur Ausnutzung der Schwachstelle noch nicht öffentlich verfügbar und es wurde auch noch keine Ausnutzung bis dato festgestellt.

Update 4. April 2018

Mittlerweile haben die die Sicherheitsforscher von "Project Zero" (Google) Details zu der Schwachstelle veröffentlicht. Mit entsprechenden Angriffen ist also zu rechnen.

Zur Sicherheit sollte überprüft werden ob die Antiviren-Software in Version 1.1.14700.5 vorliegt und die automatische Update Funktion nicht deaktiviert ist.

 

Links:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986

Autor: Erik Huemer