Dramatische Sicherheitslücke in Virenschutz-Software von Windows geschlossen
Microsoft hat eine schwerwiegende Lücke in der Antiviren-Engine von Windows beseitigt. Angreifer können verwundbare Systeme durch die Lücke auf vielfältige Weise infizieren. Betroffen sind alle Windows-Versionen sowie die Microsoft Security Essentials.
Mit einem Notfall-Patch schließt Microsoft eine hochkritische Sicherheitslücke in fast allen Windows-Versionen (einschließlich Server). Angreifer können die Lücke ausnutzen, um die Kontrolle über ein System zu übernehmen. Die Google-Forscher Tavis Ormandy und Natalie Silvanovich hatten die Schwachstelle entdeckt und vergangenen Freitag an Microsoft gemeldet. Über Twitter kündigten sie an, auf eine „unfassbar schlimme“ Windows-Lücke gestoßen zu sein – wie die veröffentlichten Details zeigen, hatten die Forscher damit nicht übertrieben.
Lücke klafft in Virenschutz-Engine
Die Lücke klafft in Micosofts Virenscanner-Engine, die seit Windows 8 in Form des Defender fester Bestandteil des Betriebssystems ist. In älteren Windows-Versionen ist sie Teil des gleichnamigen Antispyware-Programms sowie in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE) erhalten. Die Engine untersucht vom System verarbeitete Daten vor der Ausführung auf Schadcode. Hält die Engine den Inhalt von Netzwerkpaketen oder Dateien etwa für JavaScript-Code, führt sie ihn zu Analysezwecken aus.
Dabei leistet sich die Microsoft Malware Protection Engine (MsMpEn) allerdings einen fatalen Fehler, wie der Bericht der Google-Forscher offenlegt: Es kommt dabei unter bestimmten Umständen zu einer sogenannten Type Confusion. Eine Funktion des JavaScript-Interpreters überprüft die Eingabewerte nicht ausreichend, was letztlich dazu führt, dass ein Angreifer die Kontrolle über den Prozess übernehmen kann. Fatalerweise läuft dieser Prozess mit SYSTEM-Rechten und wird nicht von einer Sandbox geschützt. Der Angreifer erlangt also höchstmögliche Rechte über das verwundbare System.
Vielfältige Angriffswege
Um die Lücke auszunutzen, muss der Angreifer die Malware Protection Enginge dazu bringen, den Angriffscode zu verarbeiten. Und das ist einfach, da sie an vielen Stellen aktiv wird. Es genügt zum Beispiel, dem Opfer eine Mail zu schicken. Sobald die Nachricht vom Mail-Client abgerufen wurde, wird der Schadcode ausgeführt – es ist nicht notwendig, dass das Opfer eine Mail oder gar einen Anhang öffnet.
Genauso gut könnte der Angreifer sein Opfer auf eine angriffslustige Website locken. Auch Instant-Messenger-Nachrichten können für das Opfer fatale Folgen haben. Windows-Server sind gleichermaßen gefährdet: Hier kann ein Angreifer den verwundbaren Prozess etwa durch das Hochladen von Dateien in Gang setzen. Kurzum: Die verwundbare Engine ist omnipräsent, der Kreativität des Angreifers sind keine Grenzen gesetzt.
Betroffen sind laut Microsoft die folgenden Produkte:
- Windows 8 bis 10 (einschließlich RT)
- Microsoft Security Essentials
- Windows Defender for Windows 7 – 8.1 (einschließlich RT)
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Windows Intune Endpoint Protection
In allen Fällen bewertet der Hersteller das Sicherheitsproblem mit dem höchstmöglichen Schweregrad „kritisch“.
Angriffscode ist öffentlich – jetzt Versionsstand prüfen!
Für Abhilfe sorgt ein Update der Microsoft Malware Protection Engine, das laut Microsoft automatisch installiert wird. Die abgesicherte Version lautet Microsoft Malware Protection Engine 1.1.13704.0. Unser Testsystem mit Standardeinstellungen war am Dienstagvormittag allerdings noch auf dem Stand vom Vortag. Wer auf Nummer sicher gehen möchte, sollte den Update-Vorgang also besser von Hand anstoßen. Unter Windows 10 (Creators Update) finden Sie den Update-Knopf durch eine Startmenü-Suche nach „Defender“, „Windows Defender Security Center“, „Viren- & Bedrohungsschutz“ und schließlich „Schutzupdates“.
Für Angreifer ist die Lücke hochinteressant, da sie extrem viele Systeme betrifft. Ferner ist sie leicht ausnutzbar und vielfältig einsetzbar. Es ist daher wahrscheinlich nur eine Frage von Stunden, bis sie für echte Infektionen ausgenutzt wird.
Quelle: heise.de