Das dürfte Microsoft nicht schmecken: Google Sicherheitsforscher haben die 'schlimmste' Sicherheitslücke seit langem in Windows entdeckt. Diese eigne sich zur Konstruktion eines selbstverbreitenden Wurms. Nachtrag: Es gibt einen Fix für diese Lücke.
Anzeige
Das Ganze wäre fast an mir vorbei gegangen – bereits am Samstag, den 6. Mai 2017 hat Google Sicherheitsexperte Tavis Ormandy diesen Tweet abgesetzt.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way.
— Tavis Ormandy (@taviso) 6. Mai 2017
Zusammen mit Natalie Silvanovich hat Tavis aus dem Google Projekt Zero die Schwachstelle aufgedeckt. Diese betrifft wohl alle Standardinstallation von Windows (sprich: Es ist keine zusätzliche Software erforderlich) und der Angriff ist nicht auf das gleiche LAN der Maschine angewiesen (ein Angriff per Internet scheint möglich). Zudem soll die Lücke sich zur Verbreitung eines Computerwurms eignen, wie ein Folge-Tweet verrät. Details zur Lücke hat man bisher aber nicht genannt, was nun Rätselraten auslöst, welche Komponente gemeint sein könnte.
Es könnte sein, dass Microsoft die Sicherheitslücke am morgigen Patchday (9. Mai 2017) schließt und dass Tavis dann Details verrät. Es könnte auch sein, dass noch kein Patch von Microsoft bereitsteht, aber die 90 Tage, die Google den betroffenen Firmen gibt, abgelaufen sind. Ein paar Spekulationen finden sich noch bleepingcomputer.com und heise.de.
Ergänzung: Microsoft Malware Protection Engine angreifbar
Tavis Ormandy hat zwischenzeitlich die Details zur Sicherheitslücke hier offen gelegt. Die Lücke findet sich in der Malware Protection Engine, die in allen Windows-Versionen mindestens im Windows Defender steckt.
Anzeige
Konkret geht es um die Kernkomponente MsMpEng, die für die Virenprüfung zuständig ist. Dort stecken recht viele Komponenten drin (z.B. zum Entpacken, zum Scannen, zur Analyse, Emulatoren, Interpreter) etc. Diese Komponenten können über Sicherheitslücken, sofern bekannt, angegriffen werden. Im konkreten Fall bestand die Sicherheitslücke im NScript-Modul, welches jegliche Aktivität im Netzwerk und Dateisystem evaluiert, falls diese nach JavaScript 'ausschaut'. Dummerweise läuft dieser Prozess nicht in einer Sandbox, sondern mit Systemprivilegien.
Das ist – wenn ich den Post von Tavis Ormandy richtig interpretiere – recht ungewöhnlich, da damit 'unbekannter Code, der Malware enthalten kann' überprüft wird. Und das wird in allen Windows-Versionen so gehandhabt. Und dort gab es wohl eine Schwachstelle, die sich ausnutzen ließ. Betroffen sind alle Windows-Versionen, da sie eines der folgenden Produkte enthalten.
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Windows Intune Endpoint Protection
- Microsoft Security Essentials
- Windows Defender für Windows 7
- Windows Defender für Windows 8.1 und RT 8.1
- Windows Defender für Windows 10
Zwischenzeitlich hat Microsoft aber einen Fix bereitgestellt. Mehr Details zum Fix finden sich im Blog-Beitrag Sicherheits-Update Advisory für MS Malware Protection Engine. Nachtrag: Bei heise.de gibt es diesen Artikel mit einigen Hinweisen.
Anzeige
Interessant- nach den mir vorliegenden Schriftverkehr per e-Mail von heise.de (in den letzen Tagen ) ist es schon interessant,was jetzt die Superklugen von herausgefunden haben. Dazu zählt auch heise. de. Denn nachweislich weiß ich, dass diese nichts nachprüfen. (!!!).
Andererseits – Kann man doch mal die ketzerische Frage stellen:
# Warum jetzt?
# Geht Irgendjemand der A… auf Grundeis?
und zum Schluss :
# Wo sind eingleich die Sehenden?
Ich gehe nicht davon aus, dass Microsoft schon morgen einen Patch veröffentlichen wird. Bisher hat man sich da recht viel Zeit gelassen und teilweise sogar die Frist verstreichen lassen. Windows wird nie ein einigermaßen sicheres Betriebssystem sein, dazu sind bei Microsoft einfach die Prioritäten falsch gesetzt.
Ich möchte hier aber kein Bashing betreiben, denn andere Betriebssysteme sind auch nicht viel sicherer, von OpenBSD einmal abgesehen.
Würde man bei Microsoft die Sicherheit zur Priorität Nr. 1 erklären, müsste man dort einen Riesenaufwand tätigen, um den vorhandenen Code durch Sicherheitsaudits abzuklopfen und für neuen Code komplett neue Entwicklungsrichtlinien erstellen.
Solange man bei Microsoft nicht den Schaden hat, bleibt es beim jetzigen Zustand.
Der Patch ist diese Nacht um 3:00 Uhr MEZ angekündigt worden.
War der Tweet also jetzt wieder "schlimmer" als die Lücke?
So Taubenschiss löst Dachlawine im Hinterhof aus?
Wie kann man sich denn davor schützen? Sollte man den Computer jetzt am besten ganz aus lassen oder wie?
Ganz einfach: Stift und Zettel, dann seine Botschaft draufschreiben, dann eintüten und ne Marke drauf kleben und ab in die Post. Für die Unternehen ist dan das große Kassenbuch per Schrift wieder wichtig. Da spart man sich die Bilanzrechung.
Gerüchtehalber sollen schon Bleistifte aller Marken ausverkauft sein und das Papier ist auch schon knapp.
Siehe meinen Nachtrag und den verlinkten Artikel.
Vorab was * Sicherheit * anbetrifft
Als " Sicher " ist wohl im heutigen Zeitalter ( nichts ) mehr.
Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen, das steht jedenfalls fest .
Ich bin der festen Überzeugung, sollte es sich um die angegebene ( Lücke ) nicht als – Finte- herausstellen,
Wird Microsoft alles daran setzen, diese zu schließen.
In diesem Sinne.
"Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen, das steht jedenfalls fest"
Wie kommst Du denn bitte auf diese absurde Aussage?
"Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen"
Na ja… mit viel gutem Willen zum positiven kann man sagen, das Microsoft so schnell reagiert und patcht, wie möglich. Aber als größte Zielscheibe Weltweit liegt es einfach in der Natur der Sache, das es eben nicht sicher ist.
Zumal noch immer Lücken auftauchen, die sich durch praktisch alle Versionen ziehen.
Nimm einen Exoten voller Fehler, der aber aktuell nicht angegriffen wird und Du hast tatsächlich ein, oder das sichere System.
Nur was nicht attackiert wird, ist sicher.
Ansonsten bleibt nur warten was so kommt und reagieren.
damit dürfte zumindest ein Grossteil der privaten Nutzer nicht unbedingt gefährdet gewesen sein, da viele nachinstallierten Antivirenprodukte den Defender deaktivieren und die Standard-Installation somit nicht mehr so da ist.
Es bilde jeder seine eigene Meinung,
aber mit ( schneller ) Reaktion seitens * Microsoft *, hatte ich doch wohl Recht.
Ich persönlich stehe jedenfalls , was als ( sichersten ) OS einzustufen ist, voll hinter * Microsoft. *
Es sei denn, man hört auf E.S. und man überlegt sich " Seine " Empfehlung" zu nehmen.
Ps. – Big Brother – is watching you-
Leider nicht mehr für mein geliebtes Vista…:(
Tja.., das mit * Vista *
Irgendwann scheiden sich alle Wege.