Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten. Die Engine kommt unter anderem bei Windows Defender zum Einsatz.
Microsofts Malware Protection Enigne (MPE) kann sich an einer präparierten Datei verschlucken und so Angreifern Tür und Tor öffnen. Verschiedene Sicherheitslösungen von Microsoft setzen auf MPE, darunter etwa Windows Defender, der bei Windows 7, 8.1 und 10 zum Einsatz kommt. Microsoft zufolge gibt es derzeit keine aktiven Angriffe.
Auch Microsoft Endpoint Protection, Exchange Server, Forefront Endpoint Protection, Security Essentials und Windows Server 2016 sind durch die kritische Lücke (CVE-2017-11937) gefährdet. Eine vollständige Liste von bedrohten Produkten findet sich in der offiziellen Warnmeldung.
Abgesicherte Version installiert?
Der Sicherheitspatch für MPE sollte sich automatisch installieren. Das ist zum Beispiel der Fall, wenn sich der Windows Defender aktuelle Signaturupdates holt. Nutzer sollten sicherstellen, dass mindestens die abgesicherte MPE-Version 1.1.14405.2 installiert ist.
Zum Beispiel unter Windows 10 kann man das prüfen, indem man “Defender” in die Suche eingibt und “Windows Defender-Einstellungen” öffnet. Dort findet man die installierte MPE-Ausgabe unter “Modulversion”. Ist diese nicht aktuell, kann man Windows Defender unter Windows via Windows Update auf den aktuellen Stand bringen.
Angriffe leicht gemacht
Um die Schwachstelle auszunutzen, müssen Angreifer MPE lediglich eine präparierte Datei zum Scannen unterjubeln. Der Überprüfung findet entweder automatisch durch die Echtzeitüberwachung statt oder während eines manuell ausgelösten Scans.
Das Ergebnis ist in beiden Fälle ein Speicherfehler, der letztlich zur Ausführung von Schadcode führt, warnt Microsoft. Anschließend könnten Angreifer die volle Kontrolle über Computer erlangen.
Eine präparierte Datei können Angreifer Opfern auf vielen Wegen unterschieben: Etwa durch die Platzierung auf einer Webseite oder das Zusenden per E-Mail. Auch ein Angriff auf Web-Server ist vorstellbar, wenn gehostete Webseiten Besuchern eine Uploadmöglichkeit für Dateien anbieten, die MPE scannt.