Sicherheits-Update Advisory für MS Malware Protection Engine

Die Nacht hat Microsoft ein Sicherheits-Update Advisory 4022344 veröffentlicht. Es gibt es Update für die Microsoft Malware Protection Engine. Diese adressiert die gestern berichtete Sicherheitslücke (Neue kritische Windows-Lücke entdeckt …).


Anzeige

Das Microsoft Security Advisory 4022344 vom 8. Mai 2017 trägt den Titel ‘Security Update for Microsoft Malware Protection Engine’. Der Grund für die Herausgabe: Microsoft informiert die Anwender über ein Update der Microsoft Malware Protection Engine. Diese adressiert eine Sicherheitslücke (CVE-2017-0290) die an Microsoft berichtet wurde.

Auf dieser Technet-Seite lassen sich dann Details nachlesen. Die Sicherheitslücke (CVE-2017-0290) ermöglicht Remote Code-Ausführung, wenn die Microsoft Malware Protection Engine eine präparierte Datei scannt. Es kommt wohl zu einem Problem in der Scripting Engine, wenn Real Time Protection eingeschaltet ist. Dann scannt die Protection Engine alle Dateien, die z.B. per E-Mail-Anhang auf dem System eintreffen, selbständig. Andernfalls lässt sich die Lücke bei regulären Scans der Dateien ausnutzen. Ein Angreifer, der die Sicherheitslücke ausnutzt, kann dann Code mit LocalSystem-Privilegien ausführen und die Kontrolle über das System übernehmen.

Bezüglich der betroffenen Versionen schreibt Microsoft, dass dies die Version 1.1.13701.0 betrifft – in der Version 1.1.13704.0 ist dies behoben. Man schreibt:

*If your version of the Microsoft Malware Protection Engine is equal to or greater than this version [ist wohl 1.1.13704.0], then you are not affected by this vulnerability and do not need to take any further action.

Ich interpretiere es so, dass dort dann automatische Updates kommen (nur ältere Versionen sollten manuell aktualisiert werden). Die Microsoft Malware Protection Engine ist in folgenden Produkten enthalten.

Antimalware Software

Microsoft Malware Protection Engine Remote Code Execution Vulnerability– CVE-2017-0290

Microsoft Forefront Endpoint Protection 2010

Critical
Remote Code Execution

Microsoft Endpoint Protection

Critical
Remote Code Execution

Microsoft Forefront Security for SharePoint Service Pack 3

Critical
Remote Code Execution

Microsoft System Center Endpoint Protection

Critical
Remote Code Execution

Microsoft Security Essentials

Critical
Remote Code Execution

Windows Defender for Windows 7

Critical
Remote Code Execution

Windows Defender for Windows 8.1

Critical
Remote Code Execution

Windows Defender for Windows RT 8.1

Critical
Remote Code Execution

Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703

Critical
Remote Code Execution

Windows Intune Endpoint Protection

Critical
Remote Code Execution

Endanwender und Administratoren brauchen nichts zu unternehmen, da die betreffenden Produkte automatisch durch den Update-Mechanismus des Produkts aktualisiert werden. Microsoft gibt an, dass das Update binnen 48 Stunden ausgerollt werden.

BTW: Das dürfte der Fix für die gestern berichtete Sicherheitslücke (siehe Neue kritische Windows-Lücke entdeckt …) sein – zumindest wenn ich diesen Tweet richtig interpretiere.


Werbung

Nachtrag: Tavis Ormandy hat zwischenzeitlich die Details zur Sicherheitslücke hier offen gelegt. Bei Bleeping Computer ist das Thema für den Windows Defender in Windows 10 thematisiert.

Kontrolle in Microsoft Security Essentials

Ich habe gerade mal unter Microsoft Security Essentials unter Windows 7 nachgesehen, welches Engine installiert ist. Der Ansatz sollte auch beim Windows Defender funktionieren.

Einfach im MSE-Fenster auf das Dreieck klicken und dann den Menüeintrag Info anwählen. Bei mir wird aktuell noch die nicht mehr angreifbare Version 1.1.13704.0 gemeldet (es scheint vor einiger Zeit eine Aktualisierung gegeben zu haben).

Bei MSE habe ich übrigens noch eine typische Microsoft-Geschichte entdeckt. Im obigen Menü gibt es den Befehl Auf Softwareupdates prüfen.

Wählt man den an, landet man auf einer Seite (obiger Screenshot), die ich bereits gestern im Artikel Windows 7: Optionen fehlen in Windows Update –Teil 2 erwähnt habe. Ich gehe davon aus, dass der Fix (speziell für den Windows Defender ab Windows 8 bis 10) spätestens mit den heute Abend erwarteten Microsoft Sicherheitsupdates ausgerollt wird. Ergänzung: Im Web habe ich Artikel gesehen, wo dieses Update bei Windows 10 angeboten wird – mein Testsystem mit Windows 10 Version 1703 hat bisher nichts bekommen.

Ähnliche Artikel:
KB3193414 entfernt Kontextmenü in Microsoft Security Essentials (MSE)
Update für Microsoft Security Essentials (4.10.209.0) bringt Kontextmenübefehle zurück
Warnung vor gefakten Microsoft Security Essentials
Erfahrungsbericht zum Adware-Scan mit Microsoft Security Essentials
MS Malware Protection Engine – welche Version habe ich?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Responses to Sicherheits-Update Advisory für MS Malware Protection Engine

  1. Herr IngoW sagt:

    Auf der Technet-Seite steht: Zitat
    “Letzte Version des Microsoft Malware Protection Engine von dieser Sicherheitsanfälligkeit betroffen Version 1.1.13701.0”

    “Erste Version des Microsoft Malware Protection Engine mit dieser Sicherheitsanfälligkeit behoben Version 1.1.13704.0”

    Auf dieser von Dir verlinkten Seite: https://technet.microsoft.com/library/security/4022344.aspx
    In der kleinen Tabelle Referenzen.

    • Günter Born sagt:

      Du hast Recht – ich habe die Stelle drei Mal gelesen, aber das “addressed” nicht wahrgenommen – und dann musste ich frühstücken ;-) – ist jetzt korrigiert – danke.

  2. Otto sagt:

    Ich habe gerade unter W10 ein Update manuell angestoßen und habe jetzt auch V 1.1.13704.0. Vorher hatte ich noch V1.1.13701.0.

    Wenn IngoW recht hat, kann man die BEdrohung also mit einem manuellen Update abwenden.

    • Holger K. sagt:

      Ggf. kommt der Fix dann für Anwender 8-10 Stunden später, da Windows Update nach meiner Erfahrung etwa im Acht- bis Zehnstundenrhythmus sucht.

      Wer von den Windows 7-8.1 Anwendern Windows Update komplett abgeschaltet hat, ist selber Schuld.

      • Dekre sagt:

        Das glaube ich nicht. Das Programm MSE läuft m.E. unabhängig von der Windows-Updatesuche. Das hat nichts damit zu tun, daa dort auch MSE-Updates bei Suche angezeigt werden. Über die Regedit kann man auch das Updateintervall bei MSE einstellen. Hat man den Suchlaufintervall eingestellt, so werden davor immer neue Updates für MSE austomatisch installiert. Das gilt nicht bei einem manuellen Anstoß.

      • Günter Born sagt:

        Wie der Vorposter schrieb, die Malware Scan Engine und Signatur-Updates laufen unabhängig von Windows Update.

        • Holger K. sagt:

          Dann scheint es da einen Unterschied zu geben. Ich nutze noch Windows 8.1 und da werden mir die Definitionsupdates in Windows Update angeboten. Zusätzlich kann ich manuell aber auch in der Defender-Oberfläche selber updaten. In der Aufgabenplanung gibt es für den Defender vier Einträge, keiner davon hat etwas mit Update zu tun.

          Wie das nun unter Windows 10 bzw. Windows 7 mit den Security Essentials genau läuft, weiß ich nicht mehr.

          Ich muss mir einmal eine zweite SSD installieren, damit ich Windows 10 darauf installieren kann.

  3. Werbung

  4. Holger K. sagt:

    Zitat eines heise.de Lesers:

    ” Microsoft rollt einen Fix für die Malware Protection Engine aus

    Die Lücke ist in einer Scripting-Komponente der Microsoft Malware Protection Engine – steckt in MSE, Defender, Forefront & Co.

    Die Nacht gab es ein Security Advisory und binnen 48 Stunden sollte für alle Produkte ein Patch ausgerollt werden – vermutlich mit dem Patchday.

    Details https://www.borncity.com/blog/2017/05/09/sicherheits-update-advisory-fr-ms-malware-protection-engine/

    Antwort darauf eines anderen heise.de Lesers:

    ” Re: Microsoft rollt einen Fix für die Malware Protection Engine aus

    Heise ist wohl noch in der REM Phase.”

    Da konnte ich nur noch schmunzeln.

    Ich muss meinen eigenen Skeptizismus kritisieren, Microsoft hat aufgrund der Schwere der Sicherheitslücke und deren einfacher Ausnutzbarkeit so schnell wie möglich reagiert und den Fix bereitgestellt und sogar noch nicht einmal bis zum Sammelpatch gewartet. Sehr gut!

    • Günter Born sagt:

      Na ja, zur Ehrenrettung der Kollegen bei heise.de sollte man anmerken, dass die irgend wann auch mal schlafen, essen, zur Arbeit fahren etc. müssen. So ein Blogger-Viech schaut vor dem Frühstück kurz auf seinen Rechner und haut einen Artikel raus – den man später noch ergänzen/korrigieren/überarbeiten kann. Bei heise.de muss was verifiziert, Korrektur gelesen und was weiß ich – das dauert nun mal – dafür haben die ein viel breiteres Angebot an Themen und mehr Köpfe.

      • Holger K. sagt:

        Ja, das sind eben zwei Paar Schuhe, eine One-Man-Show und eine komplette Redaktion.
        Der eine kann u. U. schneller reagieren, die anderen sind dann möglicherweise bei der Recherche präziser und brauchen weniger Korrekturen. Aber beides steht nicht direkt miteinander in Konkurrenz. Dazu sind wohl die Unterschiede zu groß.

        Hat alles so seine Vor- und Nachteile.

        Keep on bloggin’!

  5. Dieter Schmitz sagt:

    Was macht man, wenn man den Windows Defender oder die Windows Security Essentials gar nicht nutzt?

    • Tim sagt:

      Die Frage ist unter Windows 8-10 mit App Umgebung vielleicht mittlerweile eher, woher weißt Du, oder Windows selbst, das du es nicht doch nutzt und wenn überhaupt nicht nur Teilweise abschalten kannst? An der Stelle sollte man den Patch wohl einfach mitnehmen…

      War da nicht was seit dem Anniversary Update und vor allem auch im Creators Update, das Defender und Drittanbieter AV Software zukünftig parallel arbeiten?
      Aus Microsoft Sicht vielleicht nicht ohne Grund, wenn von Haus aus in Diensten verknüpft der Defender z.B. in der App Umgebung und im Netzwerk für Sicherheit sorgen soll/ kann/ wie auch immer…
      Die Drittanbieter laufen da ja etwas unfair hinter den Microsofties hinterher…

      So verwoben wie das alles mittlerweile miteinander ist… ich sag nur Problemfall Cortana komplett los werden ohne sonstige Opfer. Geht praktisch nicht. Würd mich wundern, wenns rund um den Schutz/Defender nun anders wäre, wenn man schon offiziell von Drittsoftware als 2. Layer zum Schutz spricht, der parallel kaufen kann…

    • hüb sagt:

      dadurch ist die Lücke nicht geschlossen sondern immer noch da, da Teil des Systems.

    • Holger K. sagt:

      “Gar nicht nutzt…” bedeutet in diesem Fall, dass die zugehörigen Dienste des Defenders bzw. der Security Essentials nicht laufen, weil eine andere Antivirensoftware installiert und aktiv ist.

      Für diesen Fall sollte Microsoft im Rahmen des Patchdays auch ein Update bereitstellen, denn dann würde das dann zum Problem, sobald die Dritthersteller-Antivirensoftware deinstalliert und dann standardmäßig der Windows Defender bzw. die Security Essentials aktiv wird.

      • Dieter Schmitz sagt:

        Ja, richtig, es wird Avira (Kaufversion) genutzt.

        Ein separater Patch wird uns (noch) nicht angeboten.

        Wir nutzen Windows 7 Professional.

        • Holger K. sagt:

          Schauen wir einmal, was heute am späten Abend angeboten wird im Rahmen des Patchdays.

          • deo sagt:

            Wieso sollte die ungenutzte Engine laufend aktualisiert werden? Dann müssten die Virensignaturen auch laufend aktualisiert werden, obwohl ein anderes AV-Programm aktiv ist, denn ohne die aktuellen ist man aufgeschmissen.
            Das ist Praxisfremd. Jeder weiß, dass man ein frisch installiertes Windows zuerst einmal übers Windows Update gepatched bekommt, wobei man online sein muss. Das gleiche passiert mit den MS-AV-Programm und jedem anderen, das man das erste mal in Betrieb nimmt. Das lädt die neuste Version und die Signaturen online.
            Wieso sollte MS anders vorgehen? So käme man niemals online, wenn man bereits ein aktuelles AV-Programm mit den neusten Signaturen am Start haben wollte.
            Dazu die Frage, was war zuerst da? Das Ei oder das Huhn?

    • Günter Born sagt:

      Die Antwort ist recht einfach:

      a) Der Nutzer hat nichts an Windows verdreht – dann macht er nix und hofft, dass die installierte AV-Software keinen Mist macht. Im Idealfall wird dann der Defender komplett still gelegt, kann also nicht scannen – ergo auch keine Sicherheitslücke. Ist er nur partiell deaktiviert, wird die Scan Engine automatisch aktualisiert.

      b) Der Nutzer hat den Defender oder Einstellungen selbst verändert. Dann muss er recherchieren, ob er etwas tun muss.

      Zu b) Einfach nachschauen, ob die Scan Engine aktualisiert wurde und gut ist.

  6. hüb sagt:

    “…Bei mir wird aktuell noch die angreifbare Version 1.1.13704.0 gemeldet.”
    Steht weiter oben anders: “If your version of…Protection Engine is equal to or greater than this version [ist wohl 1.1.13704.0], then you are not affected”.

    => entscheiden se ihnen jetzt. :D

  7. riedenthied sagt:

    Mir juckt es ja gerade mächtig in den Fingern, weil es doch immer heißt, dass die AV-Lösungen der Fremdhersteller böse Sicherheitslöcher reißen. Im Gegensatz zu den Microsoft-Lösungen, die ja per se bestens auf ihr eigenes Betriebssystem abgestimmt seien weshalb der Defender der einzig wahre Malware-Schutz sei.

    *räusper* *pfeif*

  8. Werbung

  9. Rainer sagt:

    Problem wenn man mit anderer Antiviren-Software arbeitet: Da der Defender bei mir deaktiviert ist, sehe ich die Version nicht. Windows Update gerade laufen lassen, zeigt als letztes installiertes KB4016240 (ein paar Tage alt) und “System ist aktuell”. Da der Defender deaktiv ist, komme ich über “Windows Defender Security Center”, “Viren- & Bedrohungsschutz” und schließlich “Schutzupdates” nicht an die Versionsnummer (Wín 10 Pro Creators Update).
    Zumindest bei Downloads in Edge meldet sich aber die Dateiprüfung des Defenders….

  10. Ralf sagt:

    Bei Windows 10 dürfte es am sichersten sein, wenn man im Windows-Verzeichnis im Unterordner WinSxS einen Ordner sucht, der mit amd64_windows-defender-am-engine beginnt und sich darin die Eigenschaften/Details der MpEngine.dll anschaut.

    Bei einem installierten Drittanbieter-Scanner sollte man den Defender kurzzeitig aktivieren und das Schutzupdate durchführen (soweit Windows das Update nicht ohnehin nach der Aktivierung selbst durchführt). Für die Aktivierung kann es erforderlich sein, den Registryschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware wieder auf 0 zu setzen.

    Eine der grundlegenden Sicherheitsregeln ist, nicht genutzte Software zu deinstallieren. Geht dieses wie beim Defender nicht, sollte man die deaktivierte Komponente trotzdem aktualisieren. Denn spätestens beim nächsten Windows-Feature-Update im Herbst wird man den Drittanbieter-Virenscanner deaktivieren und so sonst sein System vorübergehend angreifbar machen.

    • Ralf sagt:

      Ach ja, und unter manchen Drittanbieter-Virenscannern wie z.B. ESET ist der vorübergehende Start des Defender nicht möglich (irgendwie werden da bei der Installation die Netzwerktreiber verbogen).

      • woodpeaker sagt:

        Stimmt nicht. Habe Eset am Start und siehe weiter oben meine Antwort.
        Immer unter der Premisse das du Eset richtig konfiguriert hast. ;-)

        • Ralf sagt:

          Zumindest war es die normale Programminstallation. Und bei Aktivieren des Defenders scheiterte der Start des Windows Defender Antivirus-Netzwerkinspektionsdienstes, womit auch kein Schutz-Update des Defenders möglich war. Ich musste erst ESET deinstallieren, wobei auch Netzwerktreiber für den AVM WLAN-Stick zurückgesetzt wurden. Danach liess sich erst der Defender aktivieren und die Engine updaten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.