Neue kritische Windows-Lücke (in MsMpEng) entdeckt …

Das dürfte Microsoft nicht schmecken: Google Sicherheitsforscher haben die 'schlimmste' Sicherheitslücke seit langem in Windows entdeckt. Diese eigne sich zur Konstruktion eines selbstverbreitenden Wurms. Nachtrag: Es gibt einen Fix für diese Lücke.


Anzeige

Das Ganze wäre fast an mir vorbei gegangen – bereits am Samstag, den 6. Mai 2017 hat Google Sicherheitsexperte Tavis Ormandy diesen Tweet abgesetzt.

Zusammen mit Natalie Silvanovich hat Tavis aus dem Google Projekt Zero die Schwachstelle aufgedeckt. Diese betrifft wohl alle Standardinstallation von Windows (sprich: Es ist keine zusätzliche Software erforderlich) und der Angriff ist nicht auf das gleiche LAN der Maschine angewiesen (ein Angriff per Internet scheint möglich). Zudem soll die Lücke sich zur Verbreitung eines Computerwurms eignen, wie ein Folge-Tweet verrät.  Details zur Lücke hat man bisher aber nicht genannt, was nun Rätselraten auslöst, welche Komponente gemeint sein könnte.

Es könnte sein, dass Microsoft die Sicherheitslücke am morgigen Patchday (9. Mai 2017) schließt und dass Tavis dann Details verrät. Es könnte auch sein, dass noch kein Patch von Microsoft bereitsteht, aber die 90 Tage, die Google den betroffenen Firmen gibt, abgelaufen sind. Ein paar Spekulationen finden sich noch bleepingcomputer.com und heise.de.

Ergänzung: Microsoft Malware Protection Engine angreifbar

Tavis Ormandy hat zwischenzeitlich die Details zur Sicherheitslücke hier offen gelegt. Die Lücke findet sich in der Malware Protection Engine, die in allen Windows-Versionen mindestens im Windows Defender steckt.

Konkret geht es um die Kernkomponente MsMpEng, die für die Virenprüfung zuständig ist. Dort stecken recht viele Komponenten drin (z.B. zum Entpacken, zum Scannen, zur Analyse, Emulatoren, Interpreter) etc. Diese Komponenten können über Sicherheitslücken, sofern bekannt, angegriffen werden. Im konkreten Fall bestand die Sicherheitslücke im NScript-Modul, welches jegliche Aktivität im Netzwerk und Dateisystem evaluiert, falls diese nach JavaScript 'ausschaut'. Dummerweise läuft dieser Prozess nicht in einer Sandbox, sondern mit Systemprivilegien.

Das ist – wenn ich den Post von Tavis Ormandy richtig interpretiere – recht ungewöhnlich, da damit 'unbekannter Code, der Malware enthalten kann' überprüft wird. Und das wird in allen Windows-Versionen so gehandhabt. Und dort gab es wohl eine Schwachstelle, die sich ausnutzen ließ. Betroffen sind alle Windows-Versionen, da sie eines der folgenden Produkte enthalten.

  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Windows Intune Endpoint Protection
  • Microsoft Security Essentials
  • Windows Defender für Windows 7
  • Windows Defender für Windows 8.1 und RT 8.1
  • Windows Defender für Windows 10

Zwischenzeitlich hat Microsoft aber einen Fix bereitgestellt. Mehr Details zum Fix finden sich im Blog-Beitrag Sicherheits-Update Advisory für MS Malware Protection Engine. Nachtrag: Bei heise.de gibt es diesen Artikel mit einigen Hinweisen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Neue kritische Windows-Lücke (in MsMpEng) entdeckt …

  1. Dekre sagt:

    Interessant- nach den mir vorliegenden Schriftverkehr per e-Mail von heise.de (in den letzen Tagen ) ist es schon interessant,was jetzt die Superklugen von herausgefunden haben. Dazu zählt auch heise. de. Denn nachweislich weiß ich, dass diese nichts nachprüfen. (!!!).
    Andererseits – Kann man doch mal die ketzerische Frage stellen:
    # Warum jetzt?
    # Geht Irgendjemand der A… auf Grundeis?
    und zum Schluss :
    # Wo sind eingleich die Sehenden?

  2. Holger K. sagt:

    Ich gehe nicht davon aus, dass Microsoft schon morgen einen Patch veröffentlichen wird. Bisher hat man sich da recht viel Zeit gelassen und teilweise sogar die Frist verstreichen lassen. Windows wird nie ein einigermaßen sicheres Betriebssystem sein, dazu sind bei Microsoft einfach die Prioritäten falsch gesetzt.

    Ich möchte hier aber kein Bashing betreiben, denn andere Betriebssysteme sind auch nicht viel sicherer, von OpenBSD einmal abgesehen.

    Würde man bei Microsoft die Sicherheit zur Priorität Nr. 1 erklären, müsste man dort einen Riesenaufwand tätigen, um den vorhandenen Code durch Sicherheitsaudits abzuklopfen und für neuen Code komplett neue Entwicklungsrichtlinien erstellen.

    Solange man bei Microsoft nicht den Schaden hat, bleibt es beim jetzigen Zustand.

  3. sandy sagt:

    Wie kann man sich denn davor schützen? Sollte man den Computer jetzt am besten ganz aus lassen oder wie?

    • Dekre sagt:

      Ganz einfach: Stift und Zettel, dann seine Botschaft draufschreiben, dann eintüten und ne Marke drauf kleben und ab in die Post. Für die Unternehen ist dan das große Kassenbuch per Schrift wieder wichtig. Da spart man sich die Bilanzrechung.
      Gerüchtehalber sollen schon Bleistifte aller Marken ausverkauft sein und das Papier ist auch schon knapp.

    • Günter Born sagt:

      Siehe meinen Nachtrag und den verlinkten Artikel.

  4. Hans Neumetzler sagt:

    Vorab was * Sicherheit * anbetrifft
    Als " Sicher " ist wohl im heutigen Zeitalter ( nichts ) mehr.
    Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen, das steht jedenfalls fest .
    Ich bin der festen Überzeugung, sollte es sich um die angegebene ( Lücke ) nicht als – Finte- herausstellen,
    Wird Microsoft alles daran setzen, diese zu schließen.
    In diesem Sinne.

    • Ralph sagt:

      "Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen, das steht jedenfalls fest"

      Wie kommst Du denn bitte auf diese absurde Aussage?

    • Tim sagt:

      "Als OS, ist jedenfalls – Microsoft – als das sicherste einzustufen"

      Na ja… mit viel gutem Willen zum positiven kann man sagen, das Microsoft so schnell reagiert und patcht, wie möglich. Aber als größte Zielscheibe Weltweit liegt es einfach in der Natur der Sache, das es eben nicht sicher ist.
      Zumal noch immer Lücken auftauchen, die sich durch praktisch alle Versionen ziehen.

      Nimm einen Exoten voller Fehler, der aber aktuell nicht angegriffen wird und Du hast tatsächlich ein, oder das sichere System.
      Nur was nicht attackiert wird, ist sicher.

      Ansonsten bleibt nur warten was so kommt und reagieren.

  5. gs sagt:

    damit dürfte zumindest ein Grossteil der privaten Nutzer nicht unbedingt gefährdet gewesen sein, da viele nachinstallierten Antivirenprodukte den Defender deaktivieren und die Standard-Installation somit nicht mehr so da ist.

  6. Hans Neumetzler sagt:

    Es bilde jeder seine eigene Meinung,
    aber mit ( schneller ) Reaktion seitens * Microsoft *, hatte ich doch wohl Recht.
    Ich persönlich stehe jedenfalls , was als ( sichersten ) OS einzustufen ist, voll hinter * Microsoft. *
    Es sei denn, man hört auf E.S. und man überlegt sich " Seine " Empfehlung" zu nehmen.
    Ps. – Big Brother – is watching you-

  7. Ingenieurs sagt:

    Leider nicht mehr für mein geliebtes Vista…:(

Schreibe einen Kommentar zu Hans Neumetzler Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.