[English]Microsofts Malware Protection Engine weist eine kritische Memory Corruption-Sicherheitslücke (CVE-2017-11937) auf, die eine Remote Codeausführung zulässt. Microsoft hat am 6. Dezember 2017 ein entsprechendes Sicherheits-Advisory herausgegeben und angeblich auch Update veröffentlicht. Hier die Details, die ich bisher herausfinden konnte. [Ergänzung: Und es gibt noch eine zweite kritische Sicherheitslücke CVE-2017-11940.]
Anzeige
Böse Überraschung zum Nikolaustag 2017. Die Microsoft Virenschutzlösungen weisen eine kritische Lücke (CVE-2017-11937) auf – und alle Windows-Systeme, in denen der Defender mitläuft, sowie Systeme, die Microsofts Virenschutzlösungen (Microsoft Security Essentials, Microsoft Forefront) verwenden, sind angreifbar.
Die Sicherheitslücke (CVE-2017-11937)
Thomas Gavin vom MSRC Vulnerabilities and Mitigations Team hat die Schwachstelle CVE-2017-11937 in der Microsoft Malware Protection Engine gemeldet. Ein Remote-Benutzer kann eine speziell gestaltete Datei erstellen, die, wenn sie von der Ziel-Microsoft Malware Protection Engine gescannt wird, einen Speicherfehler auslöst und beliebigen Code auf dem Zielsystem ausführt. Der Code wird mit LocalSystem-Privilegien ausgeführt.
Also quasi der größte GAU, der auftreten kann – man braucht dem System nur eine präparierte Datei unterzuschieben, um die Sicherheitslücke beim Scannen auszunutzen.
Betroffen sind Microsoft Endpoint Protection, Microsoft Exchange Server, Microsoft Forefront Endpoint Protection, Microsoft Security Essentials und Windows Defender (also alle Windows-Versionen ab Windows 8). Ergänzung: Eine Liste der betroffenen Produkte samt Details lässt sich hier abrufen.
Anzeige
Ein Update steht von Microsoft zur Verfügung
Die Nacht ging mir eine E-Mail zu, nach der Microsoft ein Update für CVE-2017-11937 für die nachfolgend aufgeführten Produkte freigegeben hat. Hier die Liste der betroffenen Produkte.
Critical Windows 7 for 32-bit Systems Service Pack 1
Critical Windows 7 for x64-based Systems Service Pack 1
Critical Windows 8.1 for 32-bit systems
Critical Windows 8.1 for x64-based systems
Critical Windows RT 8.1
Critical Windows 10 for 32-bit Systems
Critical Windows 10 for x64-based Systems
Critical Windows 10 Version 1511 for 32-bit Systems
Critical Windows 10 Version 1511 for x64-based Systems
Critical Windows 10 Version 1607 for 32-bit Systems
Critical Windows 10 Version 1607 for x64-based Systems
Critical Windows 10 Version 1703 for 32-bit Systems
Critical Windows 10 Version 1703 for x64-based Systems
Critical Windows 10 Version 1709 for 32-bit Systems
Critical Windows 10 Version 1709 for x64-based Systems
Critical Windows Server 2016
Critical Windows Server 2016 (Server Core installation)
Critical Windows Server, version 1709 (Server Core Installation)
Critical Microsoft Endpoint Protection
Critical Microsoft Exchange Server 2013
Critical Microsoft Exchange Server 2016
Critical Microsoft Forefront Endpoint Protection
Critical Microsoft Forefront Endpoint Protection 2010
Critical Microsoft Security Essentials
Microsoft hat hier nur eine kurze Mitteilung mit folgendem Text veröffentlicht.
December 2017 Security Updates
Release Date: December 06, 2017
The December 7, 2017 security release consists of security updates for the following software:
– Microsoft Malware Protection Engine
Die Details lassen sich im Security Tech Center nachlesen. Wichtig ist, dass man nach CVE-2017-11937 suchen lässt.
Im ursprünglichen Artikel hieß es, dass mit .NET-Pakete als unsicher angezeigt wurden. Und die dort verlinkten Pakete wurden nicht im Microsoft Update Catalog gefunden. Hat sich inzwischen aufgeklärt – die Updates werden automatisch verteilt, es gibt keine Downloads. Damit ist das Ganze wieder stimmig – danke an Dekre für den Hinweis.
Die Updates werden direkt in Signatur-Updates mit ausgeliefert. Wer seinen Defender oder die Microsoft Security Essentials überprüft, sollte folgendes angezeigt bekommen. Wie man die Version überprüft, hatte ich im Blog-Beitrag MS Malware Protection Engine – welche Version habe ich? beschrieben.
Bei Microsoft Security Essentials habe ich die Antimalware-Clientversion: 4.10.209.0; Modulversion: 1.1.14405.2. Im Defender wird die Antimalware-Clientversion: 4.12.16299.15; Modulversion: 1.1.14405.2. (Windows 10 V1709) gemeldet. Ob das die aktuellen Versionen mit dem Update sind, kann ich nicht sagen.
In Windows Update wird unter Windows 7 und unter Windows 10 (außer einem optionalen Definitionsupdate KB2267602) noch nichts gefunden.
Ergänzungen: Beachtet auch meinen Nachtrag weiter unten, sowie die Kommentare von Ralf Lindemann hier.
Ich hatte bei Askwoody.com diesen Thread eröffnet. Bei administrator.de gibt es diesen Post. Hintergrund war der Umstand, dann ich nicht sicher war, ob die obigen Modulversionen die aktualisierten Fassungen waren.
Update: Die Modulversion scheint aktualisiert
Kleiner Nachtrag. Ich habe jetzt eine Windows 7-Maschine, die seit 3 Tagen nicht am Netz war, gebootet und das Internet gekappt. Dort wird mir die Modulversion: 1.1.14306.0 und die Antimalware-Clientversion: 4.10.209.0 angezeigt. Sieht so aus, als ob sich Microsoft Security Essentials und der Windows Defender direkt auf die neue Version der Malware Protection Engine aktualisiert haben.
Nach Installation diverser Updates liegt auf dieser Maschine ebenfalls die Antimalware-Clientversion: 4.10.209.0; Modulversion: 1.1.14405.2 vor. Schätze, ich bin durch die Verlinkungen im Sicherheitscenter auf's Glatteis gelockt worden, denn Defender und MSE aktualisieren sich ja außerhalb von Windows Update.
Nachtrag: Zweite Sicherheitslücke CVE-2017-11940
Ich habe es nicht richtig wahrnehmen können (war unterwegs). Die Nacht habe ich noch eine zweite Sicherheitsbenachrichtigung von Microsoft bekommen – das Zeug kommt scheinbar häppchenweise. Es betrifft eine zweite Sicherheitslücke CVE-2017-11940 in der Microsoft Malware Protection Engine, die eine Remote-Codeausführung ermöglicht. Hier der Text der Mail:
Critical Security Updates
============================
CVE-2017-11940
Critical Windows 7 for 32-bit Systems Service Pack 1
Critical Windows 7 for x64-based Systems Service Pack 1
Critical Windows 8.1 for 32-bit systems
Critical Windows 8.1 for x64-based systems
Critical Windows RT 8.1
Critical Windows 10 for 32-bit Systems
Critical Windows 10 for x64-based Systems
Critical Windows 10 Version 1511 for 32-bit Systems
Critical Windows 10 Version 1511 for x64-based Systems
Critical Windows 10 Version 1607 for 32-bit Systems
Critical Windows 10 Version 1607 for x64-based Systems
Critical Windows 10 Version 1703 for 32-bit Systems
Critical Windows 10 Version 1703 for x64-based Systems
Critical Windows 10 Version 1709 for 32-bit Systems
Critical Windows 10 Version 1709 for x64-based Systems
Critical Windows Server 2016
Critical Windows Server 2016 (Server Core installation)
Critical Windows Server, version 1709 (Server Core Installation)
Critical Microsoft Endpoint Protection
Critical Microsoft Exchange Server 2013
Critical Microsoft Exchange Server 2016
Critical Microsoft Forefront Endpoint Protection
Critical Microsoft Forefront Endpoint Protection 2010
Critical Microsoft Security Essentials
Microsoft hat CVE-2017-11940 in diesem Artikel dokumentiert. Auch hier reicht es, dem Scanner eine präparierte Datei unter zu schieben. Ich gehe mal davon aus, dass Microsoft auch diese Sicherheitslücke mit dem oben beschriebenen Update gefixt hat. Zumindest gibt Microsoft an, dass man keine Aktionen unternehmen muss, da sich die Produkte selbst aktualisieren.
Ähnliche Artikel
MS Malware Protection Engine – welche Version habe ich?
Microsoft schließt Sicherheitslücke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017)
Anzeige
Ist die betreffende Datei nicht die 'mpengine.dll', in den sysinfos als Modulversion bezeichnet? Weil, da gabs eben von gestern 1.1.14306.0 auf heute 1.1.14405.2 ein update (w7).
Win 10
Die Datei ist die Modulversion: 1.1.14405.2
Antimalware-Clientversion ist zur Zeit (8:16): 4.12.17007.17123
Ich gehe davon aus das die zweitgenannte auch ausgetauscht wird bzw. wurde.
Ok, Du hast wohl Recht – beachte meinen Nachtrag. Defender und MSE aktualisieren sich ja selbst – brauchen also kein Windows Update. Vergesse ich immer wieder und bin durch die Verlinkungen im Sicherheits Center auf die falsche Spur gelockt worden.
PS: Wo hast Du gesehen, dass das Update kam? In der Ereignisanzeige habe ich nichts gefunden.
beim update der sigs, bzw. im sec-ess-Client Hilfe/Info.
Nachgeschaut im Ordner mit den sigs (\Microsoft Antimalware\Definition Updates\…), gibs ne Datei mpengine.dll vom 18-11-17. ;)
Ok, danke – ist unter
C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\
zu finden. Bevor jemand mit dem Explorer dort herum fummelt: Nehmt den Explorer++ und führt den über 'Als Administrator ausführen' aus – da andernfalls die Berechtigungen geändert werden.
Ist irgendwie doof – wäre einfacher, wenn Microsoft das Aktualisierungsdatum bei den Modulen im Info-Fenster mit einblenden würde – oder habe ich was übersehen.
"(also alle Windows-Versionen ab Windows 8)"
Windows 7 ist natürlich auch betroffen.
Gibt es denn schon eine Versions-Nummer ?
Bei MS gibt es noch keinen Download-Link.
Ich habe nicht mehr als das, was im Blog-Beitrag steht – die Mail von MS listet nur das auf, was ich in der Liste 'Critical ….' einkopiert habe. Den Rest habe ich mir am frühen Morgen zusammen gesucht – momentan bleiben mehr Fragen offen, als beantwortet werden – oder ich bin noch nicht so richtig wach.
Erst mal langsam den Körper in Gang bringen. dann wird's schon :-) .
Bei mir hilft nur noch ein Käffchen.
Für den 06.12.2017 ist bei MS (Security Update Guide) momentan (8:29) noch nix drin, kommt hoffentlich bald/heute.
Um 01.00 Uhr deutscher Zeit, das ist
07.00 Uhr hier in Thailand, hatte ich
ein optionales Update für MSE im
Angebot. Die Bezeichnung lautet :
KB2310138 ( Definition 1.259.1.0 )
Das Update hatte ein Volumen von
über 30 MB. Ich habe das Update
sofort installiert.
Diese Updates kommen hier auch – kann aber nicht das kritische Update sein, was die Malware Protection Engine aktualisiert.
Moin Herr Born!
Ihre Info zu den Windows-7-Maschinen in dem Nachtrag "Update: Die Modulversion scheint aktualisiert" kann ich so bestätigen: Nach dem gerade von mir durchgeführten Update wurde die Modulversion der Microsoft Security Essentials von 1.1.14306.0 auf 1.1.14405.2 aktualisiert.
Hoffen wir mal, dass damit diese neue Sicherheitslücke geschlossen ist…
Danke – habe das jetzt auf der 2. Win 7 Maschine auch verifizieren können.
Hallo Günter, Du schriebst oben:
"Die Details lassen sich im Security Tech Center nachlesen. So wie es ausschaut, steckt die Sicherheitslücke im .NET-Framework 4.6-4.7 und im .NET Core 1.x – was ich aber recht merkwürdig finde. " und dann das Bild.
Mittlerweile ist es von MS aktualisiert und dort steht dann das vom 06.12.2017 zu MSE, Defender etc.
Vielleicht kannst Du das dann oben ändern.
Grüße
Danke, habe noch einen Satz dazu geschrieben. Ist jetzt alles wieder im Lot – muss mich aber bald auskoppeln – ist mal wieder 'kümmern um Familienthemen' für Donnerstag/Freitag angesagt. Weiß nicht, ob ich die kommenden Stunden Zeit und Internet habe.
Updates für die Malware Protection Engine unter meinem Windows 8.1 und Windows 10 Testsystem kommen bei mir immer über Windows Update, dort nämlich über die Definitionen. Die Dateigröße von um die 36 MB war nämlich ein Hinweis darauf, dass da so etwas heute im Anmarsch war.
Hier noch eine interessante Zusatzinfo, die ich beim BSI gelesen habe, was die Aktualisierung der Microsoft Malware Protection Engine auf Version 1.1.14405.2 betrifft: "Microsoft weist darauf hin, dass normalerweise keine Notwendigkeit besteht Updates manuell zu installieren, weil der eingebaute Mechanismus zur automatischen Detektion und Anwendung von Updates diese innerhalb von 48 Stunden nach Veröffentlichung installieren sollte. Dabei hängt der exakte Zeitpunkt von der verwendeten Software, von der Internet-Verbindung und der Konfiguration der Infrastruktur ab." (Quelle: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/12/warnmeldung_tw-t17-0148.html)
Hier ist für Windows 7 die Modulaktualisierung heute Morgen mit „Defintion Update for Windows Defender KB915597 (Definition 1.259.37.0)" (12.1 MB) gekommen. Wenn ich es nicht aktiv beobachtet hätte, wäre es mir nicht aufgefallen. Die Modulaktualisierung erfolgte ohne gesonderten Hinweis im Hintergrund.
Danke für die Ergänzung. Ich plane da einen kleinen Beitrag drüber, denn es ist imho nicht ganz transparent, wie man so etwas überprüft.
Ok, ich war ab Donnerstag Mittag bis Freitag Nachmittag unterwegs und konnte kaum reagieren. Ich habe in obigem Beitrag eine Aktualisierung hinzugefügt. Die Nacht hat Microsoft noch ein zweites Security Bulletin zu einer zweiten kritischen Sicherheitslücke CVE-2017-11940 herausgegeben. Möglicherweise ist das Update für dieses Bulletin – oder MS gibt die Infos gestuft frei. Ich blicke da langsam nicht mehr durch – zumal MS keine Infos über Versionen heraus gibt.
Hm, ich verstehe es so, dass das Update von heute Morgen die Sicherheitslücken schließt, die der Blog-Beitrag adressiert. Der Defender für Windows 7 ist aktuell auf folgendem Stand:
Clientversion: 6.1.7600.16385
Modulversion: 1.1.14405.2
Antispywaredefinitionen: 1.259.37.0
ja, Entscheidend ist die Modulversion. Es wurde aber schon in der Nacht vom 06. zum 07.12.2107 geschlossen.
Ergänzung – Der Defender in Win7, wir hatten da schon paar mal diskutiert, hat andere Funktionsbereiche wie in Win 10 oder 8.1. Er bietet dann bei Win 7 keinen ausreichenden Schutz an. Dafür ist MSE notwendig, der dann den Defender abschaltet, vgl auch das eingestellte Bild von MSE von Günter.
… klar, eine "richtige" AV-Software gibt es hier auch. Der Defender in Win 7 allein genügt nicht. :-)
Ein update der betreffenden Datei(en) kann auch offline vorgenommen werden:
https://www.microsoft.com/en-us/wdsi/definitions
dort die passende sig-update-Datei runterladen ("mpam-fe.exe"), die alles enthält.
Diese starten, es erfolgt ein update der entsprechenden Programmteile sowie der sigs.
Und was machen alle Windows 7 User, bei denen das Windows Update seit 04.12.2017 nicht mehr funktioniert und die die MSE nutzen?
https://www.borncity.com/blog/2017/12/04/windows-7-update-suche-kaputt-error-0x80248015/
Danke Microsoft. Ich hab hier nur 2 Desktops mit Windows 7. Beide hatten das Problem. Lies sich aber auch durch deaktivieren von automatische Updates und reaktivieren im Windows Update Menü von Windows beheben.
Der übliche Anwender stellt das aber erst mal gar nicht fest. Das ist doch mal eine tolle Chance für alle Malware Schreiber.
Und wenn ich an KMU's denke, die Windows 7 ohne WSUS im Einsatz haben, da stellt das der Admin auch nicht sofort fest. Und nächste Woche ist Patchday. Auch diese Updates landen ohne Manuellen Eingriff am Windows 7 PC nicht rein.
Seltsam, dass dazu heise Online bisher nichts geschrieben hat. Aber die sind mittlerweile sehr hinterher bei solchen News.
@Stefan
"Seltsam, dass dazu heise Online bisher nichts geschrieben hat. Aber die sind mittlerweile sehr hinterher bei solchen News."
Sie haben nun doch geschafft, hierzu einen Artikel zu schreiben. In der Vergangenheit war heise Online aber schneller bei solchen Meldungen.
https://www.heise.de/security/meldung/Notfall-Patch-fuer-Windows-Co-Kritische-Sicherheitsluecke-im-Virenscanner-von-Microsoft-3913800.html
Schön zu lesen das Microsoft auch die Windows 7 Nutzer mit dem Update versorgt.
Die Bitdefender Engine hat doch häufiger mit Problemen zu kämpfen.
http://www.syscan360.org/slides/2014_EN_BreakingAVSoftware_JoxeanKoret.pdf
@schattenmensch:
Mein Post zu Heise bezog sich auf den Windows 7 Update bug, das die Updates ohne Eingriff bei Windows 7 seit 04.12.17 nicht mehr funktionieren.
Diesen hatte Herr Born ja hier im Blog beschrieben, daher auch der link von mir dazu.
Nur mal so in die Runde – Der Fehler mit den Updateproblem mit dem Tag 04.12.2017 kann ja nur mit diesen geschlossenen Bug zusammenhängen. Es passt auch zeitgleich, muss aber nicht zwingend. Denn es gibt dazu genug Mottosprüche, die kann sich ja jeder denken.
@Günter, Du bist zu schnell, so schnell kann MS die Daten nicht richtig einstellen. Das E-Mail von MS-Security-Abteilung zu CVE-2017-11940 ist dann auch eben MEZ ca 1 Uhr am 08.01.2017 eingeschlagen. So schnell geht das nicht, bis MS das dann richtig in der Datenbank einstellt. Jetzt hast Du das Bild vom 06.12.2017 eingestellt. Das neue vom 07.12.2017 ist fast gleich, nur eben mit Datum vom 07.12.2017 und CV-2017-11940.
Das hat auch nichts mit dem Hinweis von Ralf Lindemann zum BSI "CERT" zu tun, denn die Brüder beim CERT hinken sowieso hinterher. Das Einzig richtige von den Brüdern ist, dass MSE das automatisch aktualisiert, sofern man nicht wieder rumfummelt in den Diensten und in Regedit.
Wir müssen auch immer anders rechnen und zwar mindestens 6-8 Stunden abziehen und dann noch schauen ob wir Sommer-oder Winterzeit haben. Hier kommt wieder die PC-Uhr in das Spiel. Wer da was rumbastelt und das dauerhaft, hat schon mal schlechte Karten, weil dann die Abläufe der Signaturdaten ggf. nicht stimmen könnten. Ändert man nichts anden dazugehörigen Diensten, so wird das dann sowies automatisch dann aktualisiert, sobald der PC mit dem Internet angeschlossen ist und das Zeitsynchonisationssystem korrekt läuft.