Im Mai 2017 musste Microsoft einige Sicherheitslücken in seinen Produkten schließen. So wurde eine kritische Lücke in der Microsoft Malware Protection Engine (MsMpEng) entdeckt und mit einem Sonder-Update geschlossen. Nun ist mir eine Info mit Details in die Hände gefallen, was Microsoft mit dem Mai 2017-Update in der MsMpEng an zusätzlichen CVS adressiert hat.
Anzeige
Der Mai 2017 war sicherheitstechnisch ja eine Katastrophe, WannCry und weitere Ransomware adressierten Sicherheitslücken in Windows. Der Patchday war recht umfassend (siehe Blogrückschau auf die ersten Maiwochen) und es gab am 22.5.2017 ein Sonder-Update des Windows Malicious Software Removal Tool KB890830 ohne weitere Details. Wellen hat auch die, Anfang Mai 2017, in der Microsoft Malware Protection Engine (MsMpEng) entdeckte Lücke geschlagen (siehe Neue kritische Windows-Lücke (in MsMpEng) entdeckt). Jetzt gibt es neue Informationen zu diesem Thema.
Erstes Sicherheits-Update Advisory für MsMpEng
Am 8./9. Mai 2017 hat Microsoft ja ein Sicherheits-Update Advisory 4022344 Update für die Microsoft Malware Protection Engine veröffentlicht. Microsoft informierte darin die Anwender über ein Update der Microsoft Malware Protection Engine. Diese adressiert eine Sicherheitslücke (CVE-2017-0290) die an Microsoft berichtet wurde.
Die Sicherheitslücke (CVE-2017-0290) ermöglicht Remote Code-Ausführung, wenn die Microsoft Malware Protection Engine eine präparierte Datei scannt. Es kommt wohl zu einem Problem in der Scripting Engine, wenn Real Time Protection eingeschaltet ist. Dann scannt die Protection Engine alle Dateien, die z.B. per E-Mail-Anhang auf dem System eintreffen, selbständig. Andernfalls lässt sich die Lücke bei regulären Scans der Dateien ausnutzen. Ein Angreifer, der die Sicherheitslücke ausnutzt, kann dann Code mit LocalSystem-Privilegien ausführen und die Kontrolle über das System übernehmen.
Ich hatte ausführlicher im Blog-Beitrag Sicherheits-Update Advisory für MS Malware Protection Engine berichtet. Aber das war wohl noch nicht alles.
Anzeige
Nachtrag: Microsoft Security Update Releases Mai 2017
Nun hat Microsoft die Liste der zusätzlich adressierten Sicherheitslücken (CVEs) für den Mai 2017 unter dem Titel 'Microsoft Security Update Releases' veröffentlicht. Hier einfach mal die von Microsoft gegebenen Informationen:
******************************************************************** Title: Microsoft Security Update Releases Issued: May 25, 2017 ******************************************************************** Summary ======= The following CVEs have been added to May 2017 release. * CVE-2017-8535 * CVE-2017-8536 * CVE-2017-8537 * CVE-2017-8538 * CVE-2017-8539 * CVE-2017-8540 * CVE-2017-8541 * CVE-2017-8542 Revision Information: ===================== CVE-2017-0223 - CVE-2017-8542 | Microsoft Malware Protection Engine Denial of Service Vulnerability - CVE-2017-8541 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability - CVE-2017-8540 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability - CVE-2017-8539 | Microsoft Malware Protection Engine Denial of Service Vulnerability - CVE-2017-8538 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability - CVE-2017-8537 | Microsoft Malware Protection Engine Denial of Service Vulnerability - CVE-2017-8536 | Microsoft Malware Protection Engine Denial of Service Vulnerability - CVE-2017-8535 | Microsoft Malware Protection Engine Denial of Service Vulnerability - https://portal.msrc.microsoft.com/en-us/security-guidance - Version: 1.0 - Reason for Revision: Microsoft is releasing this out-of-band CVE information to announce that a security update is available for the Microsoft Malware Protection Engine. Microsoft recommends that customers verify that the update is installed, and if necessary, take steps to install the update. For more information see the FAQ section - Originally posted: May 25, 2017 - Aggregate CVE Severity Rating: Critical - Version: 1.0
Microsoft gibt auch an, dass weitere Informationen im Security Update Guide zu finden seien. Beim Schreiben dieses Blog-Beitrags habe ich im Security Update Guide aber nichts zu CVE-2017-0223 sowie den nachfolgenden CVEs gefunden. Die nachfolgenden Informationen stammen daher aus anderen Quellen. Ergänzung: Die CVEs werden zwischenzeitlich angezeigt – siehe mein Nachtrag weiter unten.
Die Details aufbereitet
CVE-2017-0223 adressiert laut dieser Webseite Sicherheitslücken im Microsoft Chakra Core:
A remote code execution vulnerability exists in Microsoft Chakra Core in the way JavaScript engines render when handling objects in memory. aka "Scripting Engine Memory Corruption Vulnerability". This vulnerability is unique from CVE-2017-0252.
Folgende CVEs werden laut dem Microsoft-Dokument zusätzlich durch das Mai-Update der MsMpEng adressiert (die Verlinkungen führen auf die CVE-Datenbank).
- CVE-2017-8535: Microsoft Malware Protection Engine; Denial of Service Vulnerability
- CVE-2017-8536: Microsoft Malware Protection Engine; Denial of Service Vulnerability
- CVE-2017-8537: Microsoft Malware Protection Engine; Denial of Service Vulnerability
- CVE-2017-8538: Microsoft Malware Protection Engine; Remote Code Execution Vulnerability
- CVE-2017-8539: Microsoft Malware Protection Engine; Denial of Service Vulnerability
- CVE-2017-8540: Microsoft Malware Protection Engine; Remote Code Execution Vulnerability
- CVE-2017-8541 Microsoft Malware Protection Engine; Remote Code Execution Vulnerability
- CVE-2017-8542: Microsoft Malware Protection Engine; Denial of Service Vulnerability
Die betreffenden CVEs wurden am 3. Mai 2017 in der Datenbank eingetragen. Nach der obigen Liste hat Microsoft also diese CVEs adressiert.
Nachtrag: Zwischenzeitlich werden die CVE-Einträge bei Microsoft gefunden. Hier die Links mit den Details im MSRC.
CVE-2017-8535
CVE-2017-8536
CVE-2017-8537
CVE-2017-8538
CVE-2017-8539
CVE-2017-8540
CVE-2017-8541
CVE-2017-8542
Update der Microsoft Malware Protection Engine
Nun wird es etwas kryptisch. In der Security Update Releases-Information schreibt Microsoft dann:
Reason for Revision: Microsoft is releasing this out-of-band CVE information to announce that a security update is available for the Microsoft Malware Protection Engine. Microsoft recommends that customers verify that the update is installed, and if necessary, take steps to install the update. For more information see the FAQ section
– Originally posted: May 25, 2017
Die FAQ-Section gibt es nicht im betreffenden Dokument, was mir per Mail zuging. Ich habe die obige Nachricht dann so interpretiert, dass ein zweites Update der Microsoft Malware Protection Engine am 25. Mai 2017 freigegeben wurde, um die obigen CVEs zu adressieren. Da die MSMpEn nicht per Windows Update, sondern direkt durch die Microsoft Sicherheitsprodukte (Windows Defender, Microsoft Security Essentials etc.) aktualisiert wird, habe ich mal meine Maschine überprüft.
Wie das funktioniert, habe ich im Blog-Beitrag MS Malware Protection Engine – welche Version habe ich? (siehe folgende Linkliste) gezeigt. Bei mir ist die Version 1.1.13804.0 installiert, während am 9. Mai 2017 noch die Version 1.1.13704.0 vorhanden war. Die Microsoft Malware Protection Engine wurde wohl zwischenzeitlich durch die Microsoft Security Essentials oder den Windows Defender automatisch aktualisiert.
Nachtrag: In dieser CVE-Liste sind noch ein paar Informationen zu Sicherheitslücken aus 2017 zu finden. Allerdings korrespondieren die CVE-Nummern dort nicht unbedingt mit den obigen CVE-Nummern. Danke an Leon für den Link. Auch beim Chromium-Projekt ist ein Eintrag vom 16. Mai 2017 zu finden. Und Tavis Ormandis merkt hier an, dass eine weitere Lücke mit dem obigen Patch geschlossen wurde.
Falls jemand von Euch noch weitere Informationen, Einsichten oder Ergänzungen hat, kann er diese in den Kommentaren hinterlassen.
Ähnliche Artikel:
Neue kritische Windows-Lücke (in MsMpEng) entdeckt
Sicherheits-Update Advisory für MS Malware Protection Engine
MS Malware Protection Engine – welche Version habe ich?
Blogrückschau auf die ersten Maiwochen
Windows Malicious Software Removal Tool KB890830
Sicherheitslücke auf Samba-Servern–Patchen angesagt
Update KB4020102 für Windows 10 Version 1703
Windows 10 Version 1703: Updates KB4021572 und KB4021573
VLC 2.2.6 Media Player freigegeben
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
Netgear sammelt Router 'Analytics Daten'
Windows durch durch Untertitel in Videos angreifbar
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Anzeige
Ich bin mir ziemlich sicher, dass Microsoft in der Nacht vom 23.05. auf den 24.05. die MsMpEngine und damit verbundene Dateien upgedatet hat, denn ich wunderte mich, dass die Downloadgröße in Windows Update mir am Morgen des 24.05. mit 25 MB angezeigt wurde, was ungewöhnlich ist. Selbst wenn ich einmal einen oder zwei Tage übersprungen habe, weil der Computer nicht in Betrieb war, belief sich die Größe nie über 20 MB.
In diesem Zusammenhang bin ich einmal mit der Suchmaschine auf Suche gegangen und hier fündig geworden:
https://packetstormsecurity.com/files/142671/Microsoft-MsMpEng-Privilege-Escalation.html
Wenn man das tgz-Archiv sich herunterlädt und entpackt, dann bekommt man in der Textdatei u. a. folgendes zu lesen:
"MsMpEng includes a full system x86 emulator that is used to execute any untrusted files that look like PE executables. The emulator runs as NT AUTHORITY\SYSTEM and isn't sandboxed.
…
It's not clear to me if this was intended to be exposed to attackers, but there are problems with many of the IOCTLs.
* Command 0x0C allows allows you to parse arbitrary-attacker controlled RegularExpressions to Microsoft GRETA (a library abandoned since the early 2000s). This library is not safe to process untrusted Regex, a testcase that crashes MsMpEng attached. Note that only packed executables can use RegEx, the attached sample was packed with UPX. ¯\_(ツ)_/¯
* Command 0x12 allows you to load additional "microcode" that can replace opcodes. At the very least, there is an integer overflow calculating number of opcodes provided (testcase attached). You can also redirect execution to any address on a "trusted" page, but I'm not sure I understand the full implications of that.
* Various commands allow you to change execution parameters, set and read scan attributes and UFS metadata (example attached). This seems like a privacy leak at least, as an attacker can query the research attributes you set and then retrieve it via scan result.
This bug is subject to a 90 day disclosure deadline. After 90 days elapse
or a patch has been made broadly available, the bug report will become
visible to the public.
Found by: taviso"
Der Verfasser war Tavis Ormandy, Google Project Zero
Ich überlege mir nun nach dem Lesen dieses Textes, ob ich mir nicht besser eine andere Schutzsoftware installiere. Vor allem der Passus "…The emulator runs as NT AUTHORITY\SYSTEM and isn't sandboxed" gefällt mir gar nicht. Auch die Sache mit den Regular Expressions und der veralteten Library gegen die geparsed wird, ist bedenklich.
Tavis Ormandy scheint exzellent im Bereich Reverse Engineering zu sein, das bedeutet, er ist in der Lage vom Compilat auf den Source Code zu schließen.
Ich habe übersehen, dass in dem Artikel schon ein Link existiert, in dem Tavis Ormandy die von mir zitierten Inhalte gepostet hat.
Nachtrag:
Ich habe einmal recherchiert, mit welchen Techniken die Konkurrenz von Microsoft im Bereich Antivirensoftware arbeitet. Auch hier arbeiten die Heuristic-Scanner ohne Sandbox und mit den höchsten Systemrechten und dazu auch noch ohne Speicherverwürfelung und anderen modernen Techniken bei den meisten Consumerprodukten.
Fazit:
Im Moment werde ich bei Microsofts Defender bleiben, auch wenn mir das, was ich heute herausgefunden habe, nicht behagt.
Bitte um Rat zu Windows 7 und Windows Defender
Ich benutze Windows 7 – 64bit und der Windows Defender ist deaktiviert, dafür ein Fremd Antivirus mit Firewall im Einsatz
Frage: muss ich das Security update für den Windows Defender auch separat suchen und installieren
oder ist dieses Security update für den Windows Defender in einem monthly Sicherheitsqualitäts-Rollup für Windows 7 enthalten?
In Windows Update erscheinen bei mir keine updates für den Windows Defender.
Vielen Dank.
Durch die Fremd-AV ist der Defender deaktiviert und wird nicht aktualisiert. Braucht er auch nicht, die Fremd-AV muss aktuell gehalten werden.
Der Beitrag ist ja bereits etwas älter. Zwischenzeitlich schlägt die angeblich 'heimlich geschlossene' Lücke Wellen im Web. Auch heise.de hat hier einen Beitrag zum Thema publiziert.
Muss man hier noch was tun? Ich habe MSE mit aktiviertem Echtzeitschutz und ich scanne täglich.Auch Wintotal hat dazu geschrieben: https://www.wintotal.de/erneut-kritische-sicherheitsluecke-in-windows-defender-und-co/
Wenn Du MSE bei Win 7 hast, so brauchst Du nichts mehr zu tun. Dein Link zu Wintotal ist schon wieder Schnee von gestern. Keine Panik. Viele PC-Portale und Zeitschriften verbreiten gerne Panik und da die Meldung von Wintotal vom 31.05.2017 ist, so kannst das ad acta legen. Unabhängig davon ist die Meldung von Wintotal total Schnulli.
Danke für Deine prompte Antwort!Sie hat mich beruhigt.