Microsoft Virenscanner-Engine

Microsoft hat eine schwerwiegende Lücke in der Antiviren-Engine von Windows beseitigt. Angreifer können verwundbare Systeme durch die Lücke auf vielfältige Weise infizieren. Betroffen sind alle Windows-Versionen sowie die Microsoft Security Essentials.

Mit einem Notfall-Patch schließt Microsoft eine hochkritische Sicherheitslücke in fast allen Windows-Versionen (einschließlich Server). Angreifer können die Lücke ausnutzen, um die Kontrolle über ein System zu übernehmen.

Die Lücke klafft in Microsofts Virenscanner-Engine, die seit Windows 8 in Form des Defenders fester Bestandteil des Betriebssystems ist.

In älteren Windows-Versionen ist sie Teil des gleichnamigen Antispyware-Programms sowie in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE) erhalten. Die Engine untersucht vom System verarbeitete Daten vor der Ausführung auf Schadcode. Hält die Engine den Inhalt von Netzwerkpaketen oder Dateien etwa für JavaScript-Code, führt sie ihn zu Analysezwecken aus.
Dabei leistet sich die Microsoft Malware Protection Engine allerdings einen fatalen Fehler, wie der Bericht der Google-Forscher offenlegt: Es kommt dabei unter bestimmten Umständen zu einer sogenannten Type Confusion.

Eine Funktion des JavaScript-Interpreters überprüft die Eingabewerte nicht ausreichend, was letztlich dazu führt, dass ein Angreifer die Kontrolle über den Prozess übernehmen kann.
Fatalerweise läuft dieser Prozess mit SYSTEM-Rechten und wird nicht von einer Sandbox geschützt.
Der Angreifer erlangt also höchstmögliche Rechte über das verwundbare System.

Betroffen sind laut Microsoft die folgenden Produkte:

  • Windows 8 bis 10 (einschließlich RT)
  • Microsoft Security Essentials
  • Windows Defender for Windows 7 – 8.1 (einschließlich RT)
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Windows Intune Endpoint Protection

In allen Fällen bewertet der Hersteller das Sicherheitsproblem mit dem höchstmöglichen Schweregrad “kritisch”.

Für Abhilfe sorgt ein Update der Microsoft Malware Protection Engine, das laut Microsoft automatisch installiert wird. Die abgesicherte Version lautet Microsoft Malware Protection Engine 1.1.13704.0.