Der Sicherheitsforscher Tavis Ormandy von Google hat eine extrem gefährliche Sicherheitslücke in Microsoft Windows entdeckt und in Kooperation mit Microsoft innerhalb kürzester Zeit behoben.
Die Lücke betrifft praktisch alle aktuellen Windows-Versionen und befindet sich ausgerechnet in den „Microsoft Security Essentials“ bzw. im Windows Defender. Die „Microsoft Malare Protection Engine“, die diesen Programmen zugrunde liegt, führt ungeprüften Code im Systemkontext aus und wird dabei nicht einmal durch eine sog. „Sandbox“ geschützt. Damit hat ein erfolgreicher Angriff größtmögliche Folgen: Die Übernahme des kompletten Systems.
Ormandy, der in seiner Tätigkeit bei Google immer wieder spektakuläre Sicherheitslücken in Antiviren- und Sicherheitssoftware aufgedeckt hat, geizte nicht mit Adjektiven: „wormable“ sei der Security-Bug, also zur Entwicklung von Computerwürmern verwendbar. Und „crazy bad“ – sogar Flammen-Emoji verwendete der sonst eher nüchterne Analytiker in seinen Tweets über das Problem.
Und er hatte durchaus Recht: Angreifer brauchen nämlich, um das Problem auszunutzen, nicht einmal ihre Opfer zu einer Aktion (wie etwa dem Klicken eines Links) zu verleiten – ihnen eine Mail zu schicken oder eine vielfrequentierte Webseite als Exploit-Station auszunutzen, reicht vollkommen aus. Auch Instant-Messenger-Nachrichten kommen als Übertragungsweg in Frage.
Welche Betriebssysteme sind betroffen?
Das Security-Advisory von Microsoft (Microsoft Security Advisory 4022344) führt alle betroffenen Versionen von Windows auf:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender for Windows 7
- Windows Defender for Windows 8.1
- Windows Defender for Windows RT 8.1
- Windows Defender for Windows 10, Windows 10 1511 („Threshold 2 Update“), Windows 10 1607 („Anniversary Update“, Windows 10 1703 („Creators Update“)
- Windows Server 2016
- Windows Intune Endpoint Protection
Was ist jetzt zu tun?
Microsoft reagierte innerhalb weniger Stunden und hat bereits in der Nacht vom 8. auf den 9. Mai einen Notfallpatch eingespielt, der die Sicherheitslücke behebt. Sie sollten unbedingt sofort auf allen Systemen, die Sie administrieren und die unter Windows laufen, prüfen, ob die relevanten Updates installiert sind.
Die aktualisierte Version der Malware Protection Engine lautet mindestens 1.1.13704.0. Wie Sie überprüfen, ob Ihre Version die richtige ist, erfahren Sie in einem Artikel in der Microsoft Knowledge Base. Lassen Sie sich nicht verwirren – dieser Artikel bezieht sich auf ein deutlich älteres Sicherheitsproblem und führt im Artikelkopf ganz andere Windows-Versionen auf, als tatsächlich von der aktuellen Lücke betroffen sind.
Cloud Journey für den Mittelstand
Die Grundlagen einer erfolgreichen Cloud Journey
- - Antworten auf Ihre wichtigsten Fragen der Cloud Migration.
- - Handfeste Beispiele für unterschiedliche Szenarien
- - In drei Stufen ein digital erfolgreiches Unternehmen werden
Sind Ihre Systeme noch nicht aktualisiert, sollten Sie schnellstmöglich manuell Updates und die dazu notwendigen Reboots anstoßen. Es wird noch in dieser Woche mit ersten aktiven Exploitversuchen gerechnet.
Mehr Informationen
- Informationen und detaillierte technische Analyse bei Google „Project Zero“: https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5
- Microsoft Security Advisory 4022344: https://technet.microsoft.com/library/security/4022344.aspx
- CVE-Detailseite für CVE-2017-0920: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-0920
Noch Fragen? Kontaktieren Sie uns!
Sollten Sie Fragen oder Bedenken bzgl. ihrer bei Filoo gehosteten Windows-Server und Windows-VMs haben, sprechen Sie uns einfach an! Sie erreichen unseren Support unter 05241/867300 oder info@filoo.de. Oder sprechen Sie mit Ihrem zuständigen Key Account Manager.