{"id":191652,"date":"2017-06-24T12:16:39","date_gmt":"2017-06-24T10:16:39","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191652"},"modified":"2023-03-20T22:51:41","modified_gmt":"2023-03-20T21:51:41","slug":"sicherheitswarnung-cve-2017-8558-fr-microsoft-malware-protection-engine-23-juni-2017","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/24\/sicherheitswarnung-cve-2017-8558-fr-microsoft-malware-protection-engine-23-juni-2017\/","title":{"rendered":"Microsoft schlie&szlig;t Sicherheitsl&uuml;cke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>[<a href=\"http:\/\/borncity.com\/win\/2017\/06\/24\/microsoft-closes-critical-vulnerability-cve-2017-8558-in-malware-protection-engine-june-23-2017\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Gestern, am 23.6.2017,\u00a0 hat Microsoft noch sehr sp\u00e4t in einer kurzen Mail die Sicherheitswarnung CVE-2017-8558 bekannt gegeben. Es handelt sich um einen Hinweis auf eine Sicherheitsl\u00fccke in der Microsoft Malware Protection Engine (Windows Defender, Microsoft Security Essentials, Forefront Protection), die eine Remote Code Ausf\u00fchrung erm\u00f6glicht. Diese kritische Sicherheitsl\u00fccke in Microsoft Malware Protection Engine (MsMpEng) ist zwischenzeitlich durch ein Update geschlossen. Hier einige Informationen, soweit ich diese ermitteln konnte.<\/p>\n<p><!--more--><\/p>\n<h2>Kryptische Microsoft Information<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/4e39ff1e2cd9400ba608b088165d591d\" alt=\"\" width=\"1\" height=\"1\" \/>Die Mail hat mich am 23. Juni 2017 um 20:13 erreicht und war kurz, extrem kurz, so kurz, dass ich diese erst einmal links liegen lie\u00df. Hier der Text der Nachricht.<\/p>\n<p>*******************************************************************<br \/>\nTitle: Microsoft Security Update Releases<br \/>\nIssued: June 23, 2017<br \/>\n********************************************************************<br \/>\nSummary<br \/>\n=======<\/p>\n<p>The following CVE was released on June 23, 2017:<\/p>\n<p>CVE-2017-8558<\/p>\n<p>&#8211; Impact: Remote Code Execution<br \/>\n&#8211; Version Number: 1.0<\/p>\n<p>Das Ganze lie\u00df mich etwas ratlos zur\u00fcck.<\/p>\n<h2>CVE-2017-8558 Microsoft Malware Protection Engine<\/h2>\n<p>Erst als ich nach CVE-2017-8558 gesucht habe, bin ich sehr schnell auf den Hinweis gesto\u00dfen, dass sich dieses CVE (Common Vulnerabilities and Exposures) auf die Microsoft Malware Protection Engine (MsMpEng) bezieht und eine Sicherheitsl\u00fccke adressiert, die Angreifern eine Remote Code Execution erm\u00f6glicht.<\/p>\n<p>Bei Symantec wird man in <a href=\"https:\/\/web.archive.org\/web\/20210421135219\/https:\/\/www.securityfocus.com\/bid\/99262\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kurzbeitrag<\/a> schlauer. Unter dem Titel 'Microsoft Malware Protection Engine CVE-2017-8558 Remote Code Execution Vulnerability' wird dort ausgef\u00fchrt, dass Tavis Ormandy vom Google Project Zero wohl eine Sicherheitsl\u00fccke in der Microsoft Malware Protection Engine gefunden hat, die in folgenden Microsoft Projekten steckt.<\/p>\n<p>Microsoft Windows Intune Endpoint Protection 0<br \/>\nMicrosoft Windows Defender 0<br \/>\n+ Microsoft Windows 10 for 32-bit Systems 0<br \/>\n+ Microsoft Windows 10 for x64-based Systems 0<br \/>\n+ Microsoft Windows 10 version 1511 for 32-bit Systems 0<br \/>\n+ Microsoft Windows 10 version 1511 for x64-based Systems 0<br \/>\n+ Microsoft Windows 10 Version 1607 for 32-bit Systems 0<br \/>\n+ Microsoft Windows 10 Version 1607 for x64-based Systems 0<br \/>\n+ Microsoft Windows 10 version 1703 for 32-bit Systems 0<br \/>\n+ Microsoft Windows 10 version 1703 for x64-based Systems 0<br \/>\n+ Microsoft Windows 7 for 32-bit Systems SP1<br \/>\n+ Microsoft Windows 7 for x64-based Systems SP1<br \/>\n+ Microsoft Windows 8.1 for 32-bit Systems 0<br \/>\n+ Microsoft Windows 8.1 for x64-based Systems 0<br \/>\n+ Microsoft Windows RT 8.1<br \/>\n+ Microsoft Windows Server 2016<br \/>\nMicrosoft Security Essentials 0<br \/>\nMicrosoft Forefront Endpoint Protection 2010 0<br \/>\nMicrosoft Forefront Endpoint Protection 0<br \/>\nMicrosoft Endpoint Protection 0<\/p>\n<h2>Tavis Ormandy deckt neue L\u00fccke auf<\/h2>\n<p>Bereits am 7. Juni 2017 hat Tavis Ormandy <a href=\"https:\/\/twitter.com\/taviso\/status\/872497344519970817\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Tweet<\/a> zu einer Sicherheitsl\u00fccke abgesetzt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Sigh, more critical remote mpengine vulns. Found on Linux then reproduced on Windows, full report on the way. This needs to be sandboxed. <a href=\"https:\/\/t.co\/OzarAmOyH1\">pic.twitter.com\/OzarAmOyH1<\/a><\/p>\n<p>\u2014 Tavis Ormandy (@taviso) <a href=\"https:\/\/twitter.com\/taviso\/status\/872497344519970817\">7. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Details sind im <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1282&amp;desc=2\" target=\"_blank\" rel=\"noopener noreferrer\">Chromium-Bug-Tracker nachzulesen<\/a>. Und <a href=\"https:\/\/web.archive.org\/web\/20181212184914\/https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/attachmentText?aid=289194\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Testfall<\/a>, geposted von Ormandy, ist erst wenige Stunden alt. Er schreibt:<\/p>\n<blockquote><p>I discussed Microsoft's \"apicall\" instruction that can invoke a large number of internal emulator apis and is exposed to remote attackers by default in all recent versions of Windows. I asked Microsoft if this was intentionally exposed, and they replied \"The apicall instruction is exposed for multiple reasons\", so this is intentional.<\/p>\n<p>This full system x86 emulator runs as SYSTEM, is unsandboxed, is enabled by default and remotely accessible to attackers.<\/p>\n<p>I took a quick stab at writing a fuzzer and immediately found heap corruption in the KERNEL32.DLL!VFS_Write API, I suspect this has never been fuzzed before.<\/p><\/blockquote>\n<h2>Es gibt mehr Details<\/h2>\n<p>Die Details finden sich dann in vuldb.com: In der Bibliothek <em>mpengine.dll <\/em>konnte Ormandis weitere API-Funktionen aufrufen. In einer unbekannten Funktion wurde dann eine kritische Schwachstelle in der Microsoft Malware Protection Engine bis zur Modulversion 1.1.13804.0 (32 Bit) gefunden. Ein Puffer\u00fcberlauf kann zum Ausnutzen der Schwachstelle ausgenutzt werden. Die Schwachstelle kann \u00fcber ein Netzwerk ausgenutzt werden:<\/p>\n<p>Dann bin ich auf den betreffenden <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2017-8558\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2017-8558-Eintrag<\/a> bei Microsoft gesto\u00dfen, der weitere Informationen preisgibt.<\/p>\n<blockquote><p>A remote code execution vulnerability exists when the Microsoft Malware Protection Engine does not properly scan a specially crafted file, leading to memory corruption. An attacker who successfully exploited this vulnerability could execute arbitrary code in the security context of the LocalSystem account and take control of the system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.<\/p><\/blockquote>\n<p>Die Schwachstelle wurde durch ein Update von Microsoft geschlossen, bevor Tavis Ormandy von Google am 23.06.2017 die Informationen publizierte. Die Modulversion 1.1.13903.0\u00a0 ist nicht mehr angreifbar. Die Microsoft Virenschutzprodukte (Windows Defender, Microsoft Security Essentials und Forefront Protection) aktualisieren sich unabh\u00e4ngig von Windows Update automatisch.<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2017\/06\/MSE-1.1.13903.0.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; display: inline; padding-right: 0px; border-width: 0px;\" title=\"MSE Moduldefintion 1.1.13903.0\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2017\/06\/MSE-1.1.13903.0_thumb.jpg\" alt=\"MSE Moduldefintion 1.1.13903.0\" width=\"538\" height=\"469\" border=\"0\" \/><\/a><\/p>\n<p>Ich habe kurz nachgesehen, mein Microsoft Security Essentials weist eine Modulversion 1.1.13903.0 in der Malware Protection Engine(MsMpEng) auf. Wie man die Version ermittelt, habe ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/09\/ms-malware-protection-engine-welche-version-habe-ich\/\">MS Malware Protection Engine \u2013 welche Version habe ich?<\/a> beschrieben. Das ist jetzt der n\u00e4chste kritische Fix in Microsofts Malware Protection Engine binnen weniger Wochen (siehe <a href=\"https:\/\/www.cvedetails.com\/vulnerability-list\/vendor_id-26\/product_id-9766\/Microsoft-Malware-Protection-Engine.html\" target=\"_blank\" rel=\"noopener noreferrer\">diese Liste<\/a>) \u2013 die Einschl\u00e4ge kommen auch hier n\u00e4her.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/09\/ms-malware-protection-engine-welche-version-habe-ich\/\">MS Malware Protection Engine \u2013 welche Version habe ich?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/08\/neue-kritische-windows-lcke-entdeckt\/\">Neue kritische Windows-L\u00fccke entdeckt \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/09\/sicherheits-update-advisory-fr-ms-malware-protection-engine\/\">Sicherheits-Update Advisory f\u00fcr MS Malware Protection Engine<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Gestern, am 23.6.2017,\u00a0 hat Microsoft noch sehr sp\u00e4t in einer kurzen Mail die Sicherheitswarnung CVE-2017-8558 bekannt gegeben. Es handelt sich um einen Hinweis auf eine Sicherheitsl\u00fccke in der Microsoft Malware Protection Engine (Windows Defender, Microsoft Security Essentials, Forefront Protection), die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/24\/sicherheitswarnung-cve-2017-8558-fr-microsoft-malware-protection-engine-23-juni-2017\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[6302,672,1782,4313],"class_list":["post-191652","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-cve-2017-8558","tag-microsoft","tag-sicherheitslucke","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191652"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191652\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}