Windows Defender: Schwerwiegende Sicherheitslücke geschlossen

Michael Schäfer
91 Kommentare
Windows Defender: Schwerwiegende Sicherheitslücke geschlossen
Bild: qimono | CC0 1.0

Microsoft hat mit einem schweren Sicherheitsproblem in der eigenen Antiviren-Software zu kämpfen, welche alle Windows-Versionen sowie die Microsoft Security Essentials betrifft. Angreifer können sich über die Lücke in verschiedenster Form Kontrolle über das System verschaffen. Ein Notfall-Patch ist bereits erhältlich.

Um ein System zu infiltrieren reicht bereits eine E-Mail aus, damit der Schadcode über die Malware Protection Engine bearbeitet wird. Dabei muss der Nutzer die Nachricht nicht einmal öffnen oder den Anhang herunterladen – es reicht das Abrufen im E-Mail-Client. Denkbar ist aber auch ein Angriff über eine präparierte Webseite. Betroffen sind auch Windows-Server, welche einfach über das Hochladen einer Datei verwundet werden können. Die Lücke bietet somit mannigfaltige Möglichkeiten für einen Angriff.

Alle aktuellen Windows-Systeme betroffen

Microsoft stuft die Lücke selbst als „kritisch“ ein, betroffen sollen folgende Systeme beziehungsweise Produkte sein:

  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Microsoft Security Essentials
  • Windows Defender for Windows 7
  • Windows Defender for Windows 8.1
  • Windows Defender for Windows RT 8.1
  • Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
  • Windows Intune Endpoint Protection

Nutzer sollten Update schnellstmöglich einspielen

Nutzer sollen das bereitgestellte Sicherheitsupdate unverzüglich einspielen und darauf achten, dass die Engine-Version in Defender 1.1.13704.0 oder höher beträgt. Mit dieser wurde die Lücke geschlossen. Microsoft gibt zwar an, dass das Update automatisch eingespielt wird, dennoch sollten Nutzer unbedingt die Versionsnummer prüfen und die Aktualisierung notfalls per Hand anstoßen. Ein in der Redaktion befindliches Testsystem mit Windows 10 hat die neue Version selbstständig eingespielt.

Verursacher der Schwachstelle ist die seit Windows 8 fest zum Betriebssystem gehörende Virenscanner-Engine Defender sowie die kostenlose Antiviren-Software Microsoft Security Essentials (MSE). Auch Nutzer von Windows 7, welche Defender nachträglich aufgespielt haben, sollten Vorsicht walten lassen. Durch einen Fehler in der Microsoft Malware Protection Engine (MsMpEn) kann es bei der Überprüfung von JavaScript-Code in bestimmten Fällen zu einer sogenannten Type Confusion kommen, bei welcher der JavaScript-Interpreter die eingegeben Werte nicht genau überprüft – wodurch der Angreifer letztendlich die Kontrolle über den Prozess erlangt, der nicht über eine Sandbox geschützt ist. Dass dieser mit System-Rechten ausgeführt wird, kommt erschwerend hinzu.

Gefunden wurde die Sicherheitslücke von den Google-Sicherheitsforschern Tavis Ormandy und Natalie Silvanovich, welche sie am vergangenen Freitag an Microsoft weiter geleitet hatten und die Schwachstelle zudem dokumentiert haben.

Ormandy bezeichnete in einem Twitter-Beitrag die Lücke als die schlimmste in der jüngsten Vergangenheit.