{"id":198401,"date":"2017-12-07T03:35:00","date_gmt":"2017-12-07T02:35:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198401"},"modified":"2022-10-15T10:48:26","modified_gmt":"2022-10-15T08:48:26","slug":"kritische-sicherheitslcke-in-microsoft-malware-protection-engine-cve-2017-11937","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/07\/kritische-sicherheitslcke-in-microsoft-malware-protection-engine-cve-2017-11937\/","title":{"rendered":"Kritische Sicherheitslücke(n) in Microsoft Malware Protection Engine (CVE-2017-11937 und CVE-2017-11940)"},"content":{"rendered":"

\"Windows[English<\/a>]Microsofts Malware Protection Engine weist eine kritische Memory Corruption-Sicherheitsl\u00fccke (CVE-2017-11937) auf, die eine Remote Codeausf\u00fchrung zul\u00e4sst. Microsoft hat am 6. Dezember 2017 ein entsprechendes Sicherheits-Advisory herausgegeben und angeblich auch Update ver\u00f6ffentlicht. Hier die Details, die ich bisher herausfinden konnte. [Erg\u00e4nzung:<\/strong> Und es gibt noch eine zweite kritische Sicherheitsl\u00fccke\u00a0CVE-2017-11940.]<\/p>\n

<\/p>\n

\"\"B\u00f6se \u00dcberraschung zum Nikolaustag 2017. Die Microsoft Virenschutzl\u00f6sungen weisen eine kritische L\u00fccke (CVE-2017-11937) auf \u2013 und alle Windows-Systeme, in denen der Defender mitl\u00e4uft, sowie Systeme, die Microsofts Virenschutzl\u00f6sungen (Microsoft Security Essentials, Microsoft Forefront) verwenden, sind angreifbar.<\/p>\n

Die Sicherheitsl\u00fccke (CVE-2017-11937)<\/h2>\n

Thomas Gavin vom MSRC Vulnerabilities and Mitigations Team hat die Schwachstelle CVE-2017-11937<\/a> in der Microsoft Malware Protection Engine gemeldet. Ein Remote-Benutzer kann eine speziell gestaltete Datei erstellen, die, wenn sie von der Ziel-Microsoft Malware Protection Engine gescannt wird, einen Speicherfehler ausl\u00f6st und beliebigen Code auf dem Zielsystem ausf\u00fchrt. Der Code wird mit LocalSystem-Privilegien ausgef\u00fchrt.<\/p>\n

Also quasi der gr\u00f6\u00dfte GAU, der auftreten kann \u2013 man braucht dem System nur eine pr\u00e4parierte Datei unterzuschieben, um die Sicherheitsl\u00fccke beim Scannen auszunutzen.<\/p>\n

Betroffen sind Microsoft Endpoint Protection, Microsoft Exchange Server, Microsoft Forefront Endpoint Protection, Microsoft Security Essentials und Windows Defender (also alle Windows-Versionen ab Windows 8). Erg\u00e4nzung: Eine Liste der betroffenen Produkte samt Details l\u00e4sst sich hier<\/a> abrufen.<\/p>\n

Ein Update steht von Microsoft zur Verf\u00fcgung<\/h2>\n

Die Nacht ging mir eine E-Mail zu, nach der Microsoft ein Update f\u00fcr CVE-2017-11937 f\u00fcr die nachfolgend aufgef\u00fchrten Produkte freigegeben hat. Hier die Liste der betroffenen Produkte.<\/p>\n

Critical\u00a0\u00a0\u00a0 Windows 7 for 32-bit Systems Service Pack 1
\nCritical\u00a0\u00a0\u00a0 Windows 7 for x64-based Systems Service Pack 1
\nCritical\u00a0\u00a0\u00a0 Windows 8.1 for 32-bit systems
\nCritical\u00a0\u00a0\u00a0 Windows 8.1 for x64-based systems
\nCritical\u00a0\u00a0\u00a0 Windows RT 8.1
\nCritical\u00a0\u00a0\u00a0 Windows 10 for 32-bit Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 for x64-based Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1511 for 32-bit Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1511 for x64-based Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1607 for 32-bit Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1607 for x64-based Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1703 for 32-bit Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1703 for x64-based Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1709 for 32-bit Systems
\nCritical\u00a0\u00a0\u00a0 Windows 10 Version 1709 for x64-based Systems
\nCritical\u00a0\u00a0\u00a0 Windows Server 2016
\nCritical\u00a0\u00a0\u00a0 Windows Server 2016 (Server Core installation)
\nCritical\u00a0\u00a0\u00a0 Windows Server, version 1709 (Server Core Installation)
\nCritical\u00a0\u00a0\u00a0 Microsoft Endpoint Protection
\nCritical\u00a0\u00a0\u00a0 Microsoft Exchange Server 2013
\nCritical\u00a0\u00a0\u00a0 Microsoft Exchange Server 2016
\nCritical\u00a0\u00a0\u00a0 Microsoft Forefront Endpoint Protection
\nCritical\u00a0\u00a0\u00a0 Microsoft Forefront Endpoint Protection 2010
\nCritical\u00a0\u00a0\u00a0 Microsoft Security Essentials<\/p>\n

Microsoft hat hier<\/a>\u00a0nur eine kurze Mitteilung mit folgendem Text ver\u00f6ffentlicht.<\/p>\n

\n

December 2017 Security Updates<\/strong><\/p>\n

Release Date: December 06, 2017<\/p>\n

The December 7, 2017 security release consists of security updates for the following software:<\/p>\n

– Microsoft Malware Protection Engine<\/p><\/blockquote>\n

Die Details lassen sich im Security Tech Center<\/a>\u00a0nachlesen. Wichtig ist, dass man nach\u00a0 CVE-2017-11937 suchen l\u00e4sst.<\/p>\n

\"Security<\/p>\n

Im urspr\u00fcnglichen Artikel hie\u00df es, dass mit .NET-Pakete als unsicher angezeigt wurden. Und die dort verlinkten Pakete wurden nicht im Microsoft Update Catalog gefunden. Hat sich inzwischen aufgekl\u00e4rt – die Updates werden automatisch verteilt, es gibt keine Downloads.\u00a0Damit ist das Ganze wieder stimmig \u2013 danke an Dekre f\u00fcr den Hinweis.<\/p><\/blockquote>\n

Die Updates werden direkt in Signatur-Updates mit ausgeliefert. Wer seinen Defender oder die Microsoft Security Essentials \u00fcberpr\u00fcft, sollte folgendes angezeigt bekommen.\u00a0Wie man die Version \u00fcberpr\u00fcft, hatte ich im Blog-Beitrag\u00a0MS Malware Protection Engine \u2013 welche Version habe ich?<\/a>\u00a0beschrieben.<\/p>\n

\"MSE-Daten<\/p>\n

Bei Microsoft Security Essentials habe ich die Antimalware-Clientversion: 4.10.209.0; Modulversion: 1.1.14405.2. Im Defender wird die Antimalware-Clientversion: 4.12.16299.15; Modulversion: 1.1.14405.2. (Windows 10 V1709) gemeldet. Ob das die aktuellen Versionen mit dem Update sind, kann ich nicht sagen.<\/p>\n

In Windows Update wird unter Windows 7 und unter Windows 10 (au\u00dfer einem optionalen Definitionsupdate KB2267602) noch nichts gefunden.<\/p>\n

Erg\u00e4nzungen: Beachtet auch meinen Nachtrag weiter unten, sowie die Kommentare von Ralf Lindemann hier<\/a>.<\/p><\/blockquote>\n

Ich hatte bei Askwoody.com diesen Thread<\/a> er\u00f6ffnet. Bei administrator.de gibt es diesen Post<\/a>. Hintergrund war der Umstand, dann ich nicht sicher war, ob die obigen Modulversionen die aktualisierten Fassungen waren.<\/p><\/blockquote>\n

Update: Die Modulversion scheint aktualisiert<\/h2>\n

Kleiner Nachtrag. Ich habe jetzt eine Windows 7-Maschine, die seit 3 Tagen nicht am Netz war, gebootet und das Internet gekappt. Dort wird mir die Modulversion: 1.1.14306.0 und die Antimalware-Clientversion: 4.10.209.0 angezeigt. Sieht so aus, als ob sich Microsoft Security Essentials und der Windows Defender direkt auf die neue Version der Malware Protection Engine aktualisiert haben.<\/p>\n

Nach Installation diverser Updates liegt auf dieser Maschine ebenfalls die Antimalware-Clientversion: 4.10.209.0; Modulversion: 1.1.14405.2 vor. Sch\u00e4tze, ich bin durch die Verlinkungen im Sicherheitscenter auf's Glatteis gelockt worden, denn Defender und MSE aktualisieren sich ja au\u00dferhalb von Windows Update.<\/p>\n

Nachtrag: Zweite Sicherheitsl\u00fccke\u00a0CVE-2017-11940<\/h2>\n

Ich habe es nicht richtig wahrnehmen k\u00f6nnen (war unterwegs). Die Nacht habe ich noch eine zweite Sicherheitsbenachrichtigung von Microsoft bekommen – das Zeug kommt scheinbar h\u00e4ppchenweise. Es betrifft eine zweite\u00a0Sicherheitsl\u00fccke\u00a0CVE-2017-11940 in der\u00a0Microsoft Malware Protection Engine, die eine Remote-Codeausf\u00fchrung erm\u00f6glicht. Hier der Text der Mail:<\/p>\n

Critical Security Updates
\n============================<\/p>\n

CVE-2017-11940<\/p>\n

Critical Windows 7 for 32-bit Systems Service Pack 1
\nCritical Windows 7 for x64-based Systems Service Pack 1
\nCritical Windows 8.1 for 32-bit systems
\nCritical Windows 8.1 for x64-based systems
\nCritical Windows RT 8.1
\nCritical Windows 10 for 32-bit Systems
\nCritical Windows 10 for x64-based Systems
\nCritical Windows 10 Version 1511 for 32-bit Systems
\nCritical Windows 10 Version 1511 for x64-based Systems
\nCritical Windows 10 Version 1607 for 32-bit Systems
\nCritical Windows 10 Version 1607 for x64-based Systems
\nCritical Windows 10 Version 1703 for 32-bit Systems
\nCritical Windows 10 Version 1703 for x64-based Systems
\nCritical Windows 10 Version 1709 for 32-bit Systems
\nCritical Windows 10 Version 1709 for x64-based Systems
\nCritical Windows Server 2016
\nCritical Windows Server 2016 (Server Core installation)
\nCritical Windows Server, version 1709 (Server Core Installation)
\nCritical Microsoft Endpoint Protection
\nCritical Microsoft Exchange Server 2013
\nCritical Microsoft Exchange Server 2016
\nCritical Microsoft Forefront Endpoint Protection
\nCritical Microsoft Forefront Endpoint Protection 2010
\nCritical Microsoft Security Essentials<\/p>\n

Microsoft hat\u00a0CVE-2017-11940 in diesem Artikel<\/a> dokumentiert. Auch hier reicht es, dem Scanner eine pr\u00e4parierte Datei unter zu schieben. Ich gehe mal davon aus, dass Microsoft auch diese Sicherheitsl\u00fccke mit dem oben beschriebenen Update gefixt hat. Zumindest gibt Microsoft an, dass man keine Aktionen unternehmen muss, da sich die Produkte selbst aktualisieren.<\/p>\n

\u00c4hnliche Artikel
\n<\/strong>MS Malware Protection Engine \u2013 welche Version habe ich?<\/a>
\nMicrosoft schlie\u00dft Sicherheitsl\u00fccke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsofts Malware Protection Engine weist eine kritische Memory Corruption-Sicherheitsl\u00fccke (CVE-2017-11937) auf, die eine Remote Codeausf\u00fchrung zul\u00e4sst. Microsoft hat am 6. Dezember 2017 ein entsprechendes Sicherheits-Advisory herausgegeben und angeblich auch Update ver\u00f6ffentlicht. Hier die Details, die ich bisher herausfinden konnte. [Erg\u00e4nzung: … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,161,3694,2557],"tags":[2699,954,1782,4313,3288],"class_list":["post-198401","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-virenschutz","category-windows-10","category-windows-server","tag-defender","tag-microsoft-security-essentials","tag-sicherheitslucke","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198401"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198401\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}