{"id":202893,"date":"2018-04-04T02:09:23","date_gmt":"2018-04-04T00:09:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=202893"},"modified":"2021-11-26T09:10:50","modified_gmt":"2021-11-26T08:10:50","slug":"kritisches-update-fr-ms-malware-protection-engine","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/04\/kritisches-update-fr-ms-malware-protection-engine\/","title":{"rendered":"Kritisches Update f&uuml;r MS Malware Protection Engine (CVE-2018-0986)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/04\/04\/critical-flaw-in-ms-malware-protection-engine-cve-2018-0986\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Microsofts Malware Protection Engine gibt es einen kritischen Fehler CVE-2018-0986. Microsoft hat ein Sicherheitsupdate f\u00fcr die betroffenen Produkte bereitgestellt.<\/p>\n<p><!--more--><\/p>\n<h2>Welche Produkte sind betroffen?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/164d2906f26746d7a4032175f79d15e1\" alt=\"\" width=\"1\" height=\"1\" \/>Die Malware Protection Engine steckt im Windows Defender, in Microsoft Security Essentials, in Microsoft Intune Endpoint und in Microsoft Forefront Endpoint 2010. Von der Sicherheitsl\u00fccke CVE-2018-0986 alle genannten Produkte betroffen. Zudem ist der Microsoft Exchange Server 2013 tangiert. Das der Windows Defender auf allen aktuell unterst\u00fctzten Windows-Systemen l\u00e4uft, sind alle Windows-Systeme von Windows 7 \u00fcber Windows 8.1 bis Windows 10 sowie die Windows Server-Pendants betroffen.<\/p>\n<p><img decoding=\"async\" title=\"MSE-Modulversion\" src=\"https:\/\/i.imgur.com\/jxis1Jx.jpg\" alt=\"MSE-Modulversion\" \/><\/p>\n<blockquote><p>Microsoft gibt keine Modulversionen an. Laut deskmodder.de ist der Defender bis zur Modulversion 1.1.14600.4 betroffen, das Update liefert die Modulversion 1.1.14700.5. Bisher habe ich bei den Microsoft Security Essentials (MSE) noch die alte Modulversion 1.1.14600.4 (siehe Screenshot). Wie ich die MSE aktualisiert habe, ist nachfolgend beschrieben.<\/p><\/blockquote>\n<h2>Remote Code Execution-L\u00fccke (CVE-2018-0986)<\/h2>\n<p>Die kritische Schwachstelle <em>Microsoft Malware Protection Engine Remote Code Execution Vulnerability <\/em>ist in <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2018-0986\" target=\"_blank\" rel=\"noopener\">CVE-2018-0986<\/a> dokumentiert. Es liegt eine Schwachstelle vor, die eine Remotecodeausf\u00fchrung erm\u00f6glicht. Dazu muss der Microsoft Malware Protection Engine eine speziell gestaltete Datei untergeschoben werden. Diese wird nicht ordnungsgem\u00e4\u00df scannt, was zu einer Besch\u00e4digung des Speichers f\u00fchrt.<\/p>\n<p>Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, kann beliebigen Code im Sicherheitskontext des <em>LocalSystem<\/em>-Kontos ausf\u00fchren und die Kontrolle \u00fcber das System \u00fcbernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n<p>Um diese Schwachstelle auszunutzen, muss die pr\u00e4parierte Datei von einer betroffenen Version der Microsoft Malware Protection Engine gescannt werden. Es gibt viele M\u00f6glichkeiten, wie ein Angreifer eine solche speziell gestaltete Datei an einem Ort ablegen kann, der von der Microsoft Malware Protection Engine gescannt wird.<\/p>\n<ul>\n<li>Beispielsweise k\u00f6nnte ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei an das System des Opfers zu liefern, die beim Betrachten der Website durch den Benutzer gescannt wird.<\/li>\n<li>Ein Angreifer kann auch eine speziell gestaltete Datei \u00fcber eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht liefern, die beim \u00d6ffnen der Datei gescannt wird.<\/li>\n<li>Dar\u00fcber hinaus kann ein Angreifer Websites nutzen, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, um eine speziell gestaltete Datei an einen freigegebenen Speicherort hochzuladen, der von der Malware Protection Engine auf dem Hosting-Server gescannt wird.<\/li>\n<\/ul>\n<p>Wenn die betroffene Antimalwaresoftware einen Echtzeitschutz aktiviert hat, scannt die Microsoft Malware Protection Engine Dateien automatisch. Dies f\u00fchrt zur Ausnutzung der Sicherheitsl\u00fccke, sobald die speziell erstellte Datei gescannt wird.<\/p>\n<p>Ist die Echtzeit-\u00dcberpr\u00fcfung nicht aktiviert, muss der Angreifer warten, bis eine geplante \u00dcberpr\u00fcfung stattfindet, um die Sicherheitsl\u00fccke auszunutzen. Alle Systeme, auf denen eine betroffene Version der Antimalware-Software l\u00e4uft, sind in erster Linie gef\u00e4hrdet.<\/p>\n<h2>Microsoft bietet ein Update an<\/h2>\n<p>Das Update wird f\u00fcr betroffene Versionen der Microsoft Malware Protection Engine bereitgestellt. Es behebt die oben beschrieben Sicherheitsl\u00fccke, indem es die Art und Weise korrigiert, in der die Microsoft Malware Protection Engine speziell erstellte Dateien scannt.<\/p>\n<p>Hinweis: Microsoft schreibt, dass in der Regel f\u00fcr die Installation von Updates f\u00fcr die Microsoft Malware Protection Engine keine Ma\u00dfnahmen erforderlich seien. Denn der integrierte Mechanismus zur automatischen Erkennung und Bereitstellung von Updates bewirkt, dass das Update innerhalb von 48 Stunden nach der Ver\u00f6ffentlichung anwendet. Der genaue Zeitrahmen h\u00e4ngt von der verwendeten Software, der Internetverbindung und der Konfiguration der Infrastruktur ab.<\/p>\n<h2>Microsoft Security Essentials (MSE) manuell updaten<\/h2>\n<p>Erg\u00e4nzung: Die obige Aussage 'es geht alles automatisch' ist bei den Microsoft Security Essentials (MSE) aber nur die halbe Wahrheit. Hier wurde kein Update automatisch ausgeliefert. Ich musste die MSE \u00fcber Windows Update aktualisieren. Dort wurde ein optionales <em>Definitionsupdate f\u00fcr Microsoft Security Essentials \u2013 KB2310138 (Definition 1.265.27.0)<\/em> angeboten. Als ich dieses installieren lie\u00df, war die Modulversion der Microsoft Antimalware Engine im Anschluss auf 1.1.14700.5.<\/p>\n<p>Nur mal zum Mitschreiben: Microsoft gibt in einem Security Advisory an, dass die CVE-2018-0986 eine kritische Schwachstelle sei. Es wird behauptet, dass es das Update der Scan-Engine automatisch g\u00e4be. Bei den MSE wird das Ganze aber als optional in einem Definitionsupdate versteckt. Macht doch immer wieder Laune, im Microsoft Update-Zirkus zu agieren.<\/p>\n<h2>Die schmutzige Wahrheit: Fehler bei OS-Code-\u00dcbernahme<\/h2>\n<p>Noch eine kleine Erg\u00e4nzung, was bei Microsoft schief gelaufen ist. Das Team bei The Register hat es <a href=\"https:\/\/www.theregister.co.uk\/2018\/04\/04\/microsoft_windows_defender_rar_bug\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> recherchiert. Der Bug in der Scan-Engine wurde von\u00a0Halvar Flake im Google-Projekt Zero entdeckt und im Chromium-Projekt <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1543&amp;desc=2\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>.\u00a0Flake entdeckte die Schwachstelle in Routinen zum Entpacken und schaute nach, woher die kamen. Der Fehler lie\u00df sich auf eine \u00e4ltere Version von unrar zur\u00fcckf\u00fchren, einem Open-Source-Archivierungsprogramm zum Entpacken von .rar-Archiven.<\/p>\n<p>Anscheinend hat Microsoft den Code dieser Open-Source-Version von unrar in die Antiviren-Engine seines Betriebssystems integriert. Dieser geforkte Code wurde dann so modifiziert, dass alle vorzeichenbehafteten Integer-Variablen in unsignierte Variablen umgewandelt wurden. Das f\u00fchrte aber Folgeproblemen bei mathematischen Vergleichen. Dies wiederum machte die Software anf\u00e4llig f\u00fcr Speicherfehler, die das Antivirenpaket zum Absturz bringen oder die Ausf\u00fchrung von b\u00f6sartigem Code erm\u00f6glichen k\u00f6nnen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">This is amazing, Windows Defender used the open source unrar code, but changed all the signed ints to unsigned for some reason, breaking the code. <a href=\"https:\/\/twitter.com\/halvarflake?ref_src=twsrc%5Etfw\">@halvarflake<\/a> noticed and got it fixed. Remote SYSTEM memory corruption ? <a href=\"https:\/\/t.co\/gsx9ZMk1Hz\">https:\/\/t.co\/gsx9ZMk1Hz<\/a><\/p>\n<p>\u2014 Tavis Ormandy (@taviso) <a href=\"https:\/\/twitter.com\/taviso\/status\/981577213546909697?ref_src=twsrc%5Etfw\">4. April 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Google Sicherheitsforscher Tavis Ormandy hat in obigem Tweet auf diesen Sachverhalt hingewiesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/12\/07\/kritische-sicherheitslcke-in-microsoft-malware-protection-engine-cve-2017-11937\/\">Kritische Sicherheitsl\u00fccke(n) in Microsoft Malware Protection Engine (CVE-2017-11937 und CVE-2017-11940)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/24\/sicherheitswarnung-cve-2017-8558-fr-microsoft-malware-protection-engine-23-juni-2017\/\">Microsoft schlie\u00dft Sicherheitsl\u00fccke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Microsofts Malware Protection Engine gibt es einen kritischen Fehler CVE-2018-0986. Microsoft hat ein Sicherheitsupdate f\u00fcr die betroffenen Produkte bereitgestellt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,161],"tags":[6933,2699,954,4328,4315],"class_list":["post-202893","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-virenschutz","tag-cve-2018-0986","tag-defender","tag-microsoft-security-essentials","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202893"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202893\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}