{"id":190073,"date":"2017-05-09T07:32:34","date_gmt":"2017-05-09T05:32:34","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190073"},"modified":"2021-01-10T22:41:45","modified_gmt":"2021-01-10T21:41:45","slug":"sicherheits-update-advisory-fr-ms-malware-protection-engine","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/09\/sicherheits-update-advisory-fr-ms-malware-protection-engine\/","title":{"rendered":"Sicherheits-Update Advisory f&uuml;r MS Malware Protection Engine"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Die Nacht hat Microsoft ein Sicherheits-Update Advisory 4022344 ver\u00f6ffentlicht. Es gibt es Update f\u00fcr die Microsoft Malware Protection Engine. Diese adressiert die gestern berichtete Sicherheitsl\u00fccke (<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/08\/neue-kritische-windows-lcke-entdeckt\/\">Neue kritische Windows-L\u00fccke entdeckt \u2026<\/a>).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/7c3359852a0d491aa7da2c9db763adaa\" width=\"1\" height=\"1\"\/>Das Microsoft Security Advisory 4022344 vom 8. Mai 2017 tr\u00e4gt den Titel 'Security Update for Microsoft Malware Protection Engine'. Der Grund f\u00fcr die Herausgabe: Microsoft informiert die Anwender \u00fcber ein Update der Microsoft Malware Protection Engine. Diese adressiert eine Sicherheitsl\u00fccke (CVE-2017-0290) die an Microsoft berichtet wurde. <\/p>\n<p>Auf dieser <a href=\"https:\/\/technet.microsoft.com\/library\/security\/4022344.aspx\" target=\"_blank\" rel=\"noopener\">Technet-Seite<\/a> lassen sich dann Details nachlesen. Die Sicherheitsl\u00fccke (CVE-2017-0290) erm\u00f6glicht Remote Code-Ausf\u00fchrung, wenn die Microsoft Malware Protection Engine eine pr\u00e4parierte Datei scannt. Es kommt wohl zu einem Problem in der Scripting Engine, wenn Real Time Protection eingeschaltet ist. Dann scannt die Protection Engine alle Dateien, die z.B. per E-Mail-Anhang auf dem System eintreffen, selbst\u00e4ndig. Andernfalls l\u00e4sst sich die L\u00fccke bei regul\u00e4ren Scans der Dateien ausnutzen. Ein Angreifer, der die Sicherheitsl\u00fccke ausnutzt, kann dann Code mit LocalSystem-Privilegien ausf\u00fchren und die Kontrolle \u00fcber das System \u00fcbernehmen. <\/p>\n<p>Bez\u00fcglich der betroffenen Versionen schreibt Microsoft, dass dies die Version 1.1.13701.0 betrifft \u2013 in der Version 1.1.13704.0 ist dies behoben. Man schreibt:<\/p>\n<blockquote>\n<p>*If your version of the Microsoft Malware Protection Engine is equal to or greater than this version [ist wohl 1.1.13704.0], then you are not affected by this vulnerability and do not need to take any further action.<\/p>\n<\/blockquote>\n<p>Ich interpretiere es so, dass dort dann automatische Updates kommen (nur \u00e4ltere Versionen sollten manuell aktualisiert werden). Die Microsoft Malware Protection Engine ist in folgenden Produkten enthalten.<\/p>\n<table summary=\"table\">\n<tbody>\n<tr>\n<td>\n<p><strong>Antimalware Software <\/strong><\/p>\n<\/td>\n<td>\n<p><strong><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-0290\" target=\"_blank\" rel=\"noopener\">Microsoft Malware Protection Engine Remote Code Execution Vulnerability<\/a>&#8211; CVE-2017-0290<\/strong> <\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Microsoft Forefront Endpoint Protection 2010 <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Microsoft Endpoint Protection <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Microsoft Forefront Security for SharePoint Service Pack 3 <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Microsoft System Center Endpoint Protection <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Microsoft Security Essentials <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Windows Defender for Windows 7<\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Windows Defender for Windows 8.1<\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Windows Defender for Windows RT 8.1<\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703<\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>Windows Intune Endpoint Protection <\/p>\n<\/td>\n<td>\n<p><strong>Critical<\/strong> <br \/>Remote Code Execution<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Endanwender und Administratoren brauchen nichts zu unternehmen, da die betreffenden Produkte automatisch durch den Update-Mechanismus des Produkts aktualisiert werden. Microsoft gibt an, dass das Update binnen 48 Stunden ausgerollt werden.<\/p>\n<p>BTW: Das d\u00fcrfte der Fix f\u00fcr die gestern berichtete Sicherheitsl\u00fccke (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/08\/neue-kritische-windows-lcke-entdeckt\/\">Neue kritische Windows-L\u00fccke entdeckt \u2026<\/a>) sein \u2013 zumindest wenn ich <a href=\"https:\/\/twitter.com\/taviso\/status\/861751140437839872\" target=\"_blank\" rel=\"noopener\">diesen Tweet<\/a> richtig interpretiere. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Still blown away at how quickly <a href=\"https:\/\/twitter.com\/msftsecurity\">@msftsecurity<\/a> responded to protect users, can't give enough kudos. Amazing.<\/p>\n<p>\u2014 Tavis Ormandy (@taviso) <a href=\"https:\/\/twitter.com\/taviso\/status\/861751140437839872\">9. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Nachtrag: Tavis Ormandy hat zwischenzeitlich die Details zur Sicherheitsl\u00fccke <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1252&amp;desc=5\" target=\"_blank\" rel=\"noopener\">hier<\/a> offen gelegt. B<font color=\"#333333\" size=\"3\">ei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-issues-emergency-out-of-band-update-to-fix-crazy-bad-vulnerability\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> ist das Thema f\u00fcr den Windows Defender in Windows 10 thematisiert. <\/font><\/p>\n<h3>Kontrolle in Microsoft Security Essentials<\/h3>\n<p>Ich habe gerade mal unter Microsoft Security Essentials unter Windows 7 nachgesehen, welches Engine installiert ist. Der Ansatz sollte auch beim Windows Defender funktionieren.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/KMMucBe.jpg\"\/><\/p>\n<p>Einfach im MSE-Fenster auf das Dreieck klicken und dann den Men\u00fceintrag <em>Info <\/em>anw\u00e4hlen. Bei mir wird aktuell <strike>noch<\/strike> die nicht mehr angreifbare Version 1.1.13704.0 gemeldet (es scheint vor einiger Zeit eine Aktualisierung gegeben zu haben).<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/Hi5F8T7.jpg\"\/><\/p>\n<p>Bei MSE habe ich \u00fcbrigens noch eine typische Microsoft-Geschichte entdeckt. Im obigen Men\u00fc gibt es den Befehl <em>Auf Softwareupdates pr\u00fcfen<\/em>. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.imgur.com\/vRHmBRo.jpg\" width=\"530\" height=\"293\"\/>  <\/p>\n<p>W\u00e4hlt man den an, landet man auf einer Seite (obiger Screenshot), die ich bereits gestern im Artikel <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/08\/windows-7-optionen-fehlen-in-windows-update-teil-2\/\">Windows 7: Optionen fehlen in Windows Update \u2013Teil 2<\/a> erw\u00e4hnt habe. Ich gehe davon aus, dass der Fix (speziell f\u00fcr den Windows Defender ab Windows 8 bis 10) sp\u00e4testens mit den heute Abend erwarteten Microsoft Sicherheitsupdates ausgerollt wird. Erg\u00e4nzung: Im Web habe ich Artikel gesehen, wo dieses Update bei Windows 10 angeboten wird \u2013 mein Testsystem mit Windows 10 Version 1703 hat bisher nichts bekommen.  <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/10\/22\/kb3193414-entfernt-kontextmen-in-microsoft-security-essentials-mse\/\">KB3193414 entfernt Kontextmen\u00fc in Microsoft Security Essentials (MSE)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/11\/30\/update-fr-microsoft-security-essentials-4-10-209-0\/\">Update f\u00fcr Microsoft Security Essentials (4.10.209.0) bringt Kontextmen\u00fcbefehle zur\u00fcck<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/10\/23\/warnung-vor-gefakten-microsoft-security-essentials\/\">Warnung vor gefakten Microsoft Security Essentials<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/02\/28\/erfahrungsbericht-zu-adware-blockade-mit-microsoft-security-essentials\/\">Erfahrungsbericht zum Adware-Scan mit Microsoft Security Essentials<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/09\/ms-malware-protection-engine-welche-version-habe-ich\/\">MS Malware Protection Engine \u2013 welche Version habe ich?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Nacht hat Microsoft ein Sicherheits-Update Advisory 4022344 ver\u00f6ffentlicht. Es gibt es Update f\u00fcr die Microsoft Malware Protection Engine. Diese adressiert die gestern berichtete Sicherheitsl\u00fccke (Neue kritische Windows-L\u00fccke entdeckt \u2026).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[6154,4328,4315,4325],"class_list":["post-190073","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-microsoft-malware-protection-engine","tag-sicherheit","tag-update","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190073"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190073\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}