{"id":190060,"date":"2017-05-08T19:19:06","date_gmt":"2017-05-08T17:19:06","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190060"},"modified":"2017-05-09T17:05:06","modified_gmt":"2017-05-09T15:05:06","slug":"neue-kritische-windows-lcke-entdeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/08\/neue-kritische-windows-lcke-entdeckt\/","title":{"rendered":"Neue kritische Windows-L&uuml;cke (in MsMpEng) entdeckt &hellip;"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Das d\u00fcrfte Microsoft nicht schmecken: Google Sicherheitsforscher haben die 'schlimmste' Sicherheitsl\u00fccke seit langem in Windows entdeckt. Diese eigne sich zur Konstruktion eines selbstverbreitenden Wurms. Nachtrag: Es gibt einen Fix f\u00fcr diese L\u00fccke.<\/p>\n<p><!--more--><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/2b76fd5c5204499babd3fabafa362b57\" width=\"1\" height=\"1\"\/>Das Ganze w\u00e4re fast an mir vorbei gegangen \u2013 bereits am Samstag, den 6. Mai 2017 hat Google Sicherheitsexperte Tavis Ormandy <a href=\"https:\/\/twitter.com\/taviso\/status\/860679110728622080\" rel=\"noopener noreferrer\" target=\"_blank\">diesen Tweet<\/a> abgesetzt.  <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">I think <a href=\"https:\/\/twitter.com\/natashenka\">@natashenka<\/a> and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way.<\/p>\n<p>\u2014 Tavis Ormandy (@taviso) <a href=\"https:\/\/twitter.com\/taviso\/status\/860679110728622080\">6. Mai 2017<\/a><\/p>\n<\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Zusammen mit Natalie Silvanovich hat Tavis aus dem Google Projekt Zero die Schwachstelle aufgedeckt. Diese betrifft wohl alle Standardinstallation von Windows (sprich: Es ist keine zus\u00e4tzliche Software erforderlich) und der Angriff ist nicht auf das gleiche LAN der Maschine angewiesen (ein Angriff per Internet scheint m\u00f6glich). Zudem soll die L\u00fccke sich zur Verbreitung eines Computerwurms eignen, wie ein Folge-Tweet verr\u00e4t.&nbsp; Details zur L\u00fccke hat man bisher aber nicht genannt, was nun R\u00e4tselraten ausl\u00f6st, welche Komponente gemeint sein k\u00f6nnte.<\/p>\n<p>Es k\u00f6nnte sein, dass Microsoft die Sicherheitsl\u00fccke am morgigen Patchday (9. Mai 2017) schlie\u00dft und dass Tavis dann Details verr\u00e4t. Es k\u00f6nnte auch sein, dass noch kein Patch von Microsoft bereitsteht, aber die 90 Tage, die Google den betroffenen Firmen gibt, abgelaufen sind. Ein paar Spekulationen finden sich noch <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/google-researchers-find-wormable-crazy-bad-windows-exploit\/\" rel=\"noopener noreferrer\" target=\"_blank\">bleepingcomputer.com<\/a> und <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Google-Forscher-entdecken-dramatische-Windows-Luecke-3705864.html\" rel=\"noopener noreferrer\" target=\"_blank\">heise.de<\/a>.<\/p>\n<h3>Erg\u00e4nzung: Microsoft Malware Protection Engine angreifbar<\/h3>\n<p>Tavis Ormandy hat zwischenzeitlich die Details zur Sicherheitsl\u00fccke <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1252&amp;desc=5\" target=\"_blank\">hier<\/a> offen gelegt. Die L\u00fccke findet sich in der Malware Protection Engine, die in allen Windows-Versionen mindestens im Windows Defender steckt. <\/p>\n<p>Konkret geht es um die Kernkomponente <em>MsMpEng<\/em><em><\/em>, die f\u00fcr die Virenpr\u00fcfung zust\u00e4ndig ist. Dort stecken recht viele Komponenten drin (z.B. zum Entpacken, zum Scannen, zur Analyse, Emulatoren, Interpreter) etc. Diese Komponenten k\u00f6nnen \u00fcber Sicherheitsl\u00fccken, sofern bekannt, angegriffen werden. Im konkreten Fall bestand die Sicherheitsl\u00fccke im NScript-Modul, welches jegliche Aktivit\u00e4t im Netzwerk und Dateisystem evaluiert, falls diese nach JavaScript 'ausschaut'. Dummerweise l\u00e4uft dieser Prozess nicht in einer Sandbox, sondern mit Systemprivilegien. <\/p>\n<p>Das ist \u2013 wenn ich den Post von Tavis Ormandy richtig interpretiere \u2013 recht ungew\u00f6hnlich, da damit 'unbekannter Code, der Malware enthalten kann' \u00fcberpr\u00fcft wird. Und das wird in allen Windows-Versionen so gehandhabt. Und dort gab es wohl eine Schwachstelle, die sich ausnutzen lie\u00df. Betroffen sind alle Windows-Versionen, da sie eines der folgenden Produkte enthalten.<\/p>\n<ul>\n<li>Microsoft Forefront Endpoint Protection 2010  <\/li>\n<li>Microsoft Endpoint Protection  <\/li>\n<li>Microsoft Forefront Security for SharePoint Service Pack 3  <\/li>\n<li>Microsoft System Center Endpoint Protection  <\/li>\n<li>Windows Intune Endpoint Protection  <\/li>\n<li>Microsoft Security Essentials  <\/li>\n<li>Windows Defender f\u00fcr Windows 7 <\/li>\n<li>Windows Defender f\u00fcr Windows 8.1 und RT 8.1  <\/li>\n<li>Windows Defender f\u00fcr Windows 10<\/li>\n<\/ul>\n<p>Zwischenzeitlich hat Microsoft aber einen Fix bereitgestellt. Mehr Details zum Fix finden sich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/09\/sicherheits-update-advisory-fr-ms-malware-protection-engine\/\" rel=\"bookmark\">Sicherheits-Update Advisory f\u00fcr MS Malware Protection Engine<\/a>. Nachtrag: Bei heise.de gibt es <a href=\"https:\/\/www.heise.de\/security\/meldung\/Dramatische-Sicherheitsluecke-in-Virenschutz-Software-von-Windows-geschlossen-3706615.html\" target=\"_blank\">diesen Artikel<\/a> mit einigen Hinweisen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das d\u00fcrfte Microsoft nicht schmecken: Google Sicherheitsforscher haben die 'schlimmste' Sicherheitsl\u00fccke seit langem in Windows entdeckt. Diese eigne sich zur Konstruktion eines selbstverbreitenden Wurms. Nachtrag: Es gibt einen Fix f\u00fcr diese L\u00fccke.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1782,4325],"class_list":["post-190060","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheitslucke","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190060"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190060\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}