Microsoft informiert über schwere Sicherheitslücke in der Microsoft Malware Protection

Microsoft hat heute über eine schwere Sicherheitslücke (CVE-2017-11937) informiert. Mithilfe einer speziell erstellten Datei konnte, stark vereinfacht beschrieben, ein Angreifer die Microsoft Malware Protection umgehen und beliebigen Code im Sicherheitskontext des LocalSystem-Accounts ausführen und so die Kontrolle über das System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Laut Microsoft braucht der Nutzer nichts zu unternehmen, das Update der Engine geschieht automatisch. Nutzer sollen aber sicherstellen, dass die aktuelle Version installiert ist.

Um diese Sicherheitslücke auszunutzen, muss eine speziell angefertigte Datei von einer betroffenen Version der Microsoft Malware Protection Engine gescannt werden. Es gibt viele Möglichkeiten, wie ein Angreifer so eine Datei an einem Ort ablegen kann, der von der Microsoft Malware Protection Engine gescannt wird. Beispielsweise könnte ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei an das System des Opfers zu liefern, die gescannt wird, wenn die Website vom Benutzer aufgerufen wird.

Ein Angreifer könnte auch eine speziell gestaltete Datei über eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht ausliefern, die beim Öffnen der Datei gescannt wird. Darüber hinaus könnte ein Angreifer Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, nutzen, um eine speziell gestaltete Datei an einen freigegebenen Speicherort hochzuladen, der von der Malware Protection Engine gescannt wird, die auf dem Hosting-Server ausgeführt wird.