Microsoft Security Advisory 4022344
Sicherheitsupdate für microsoft Malware Protection Engine
Veröffentlicht: 8. Mai 2017 | Aktualisiert: 12. Mai 2017
Version: 1.2
Kurzfassung
Microsoft veröffentlicht diese Sicherheitsempfehlung, um Kunden darüber zu informieren, dass ein Update für das Microsoft Malware Protection Engine eine Sicherheitslücke behebt, die an Microsoft gemeldet wurde.
Das Update behebt eine Sicherheitsanfälligkeit, die die Remotecodeausführung ermöglichen könnte, wenn das Microsoft Malware Protection Engine eine speziell gestaltete Datei durchsucht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code im Sicherheitskontext des LocalSystem-Kontos ausführen und die Kontrolle über das System übernehmen.
Das Microsoft Malware Protection Engine wird mit mehreren Microsoft-Antischadsoftwareprodukten ausgeliefert. Eine Liste der betroffenen Produkte finden Sie im Abschnitt "Betroffene Software ". Updates für das Microsoft Malware Protection Engine werden zusammen mit den aktualisierten Schadsoftwaredefinitionen für die betroffenen Produkte installiert. Administratoren von Unternehmensinstallationen sollten ihren etablierten internen Prozessen folgen, um sicherzustellen, dass die Definitions- und Modulupdates in ihrer Updateverwaltungssoftware genehmigt werden und dass Clients die Updates entsprechend nutzen.
In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um Updates für das Microsoft Malware Protection-Modul zu installieren, da der integrierte Mechanismus für die automatische Erkennung und Bereitstellung von Updates innerhalb von 48 Stunden nach der Veröffentlichung das Update anwenden wird. Der genaue Zeitrahmen hängt von der verwendeten Software-, Internetverbindungs- und Infrastrukturkonfiguration ab.
Die Informationen in dieser Empfehlung sind auch im Sicherheitsupdatehandbuch verfügbar, auf das von CVE-2017-0290 verwiesen wird.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Identifikation |
|---|---|
| Letzte Version des Microsoft Malware Protection Engine, die von dieser Sicherheitsanfälligkeit betroffen ist | Version 1.1.13701.0 |
| First version of the Microsoft Malware Protection Engine with this vulnerability addressed | Version 1.1.13704.0 |
* Wenn Ihre Version des Microsoft Malware Protection Engine gleich oder größer als diese Version ist, sind Sie von dieser Sicherheitsanfälligkeit nicht betroffen und müssen keine weiteren Maßnahmen ergreifen. Weitere Informationen zum Überprüfen der Modulversionsnummer, die Ihre Software derzeit verwendet, finden Sie im Abschnitt "Überprüfen der Updateinstallation" im Microsoft Knowledge Base-Artikel 2510781.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Antischadsoftware | Sicherheitsanfälligkeit in microsoft Malware Protection Engine bezüglich Remotecodeausführung – CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Kritisch \ Remotecodeausführung |
| Microsoft Endpoint Protection | Kritisch \ Remotecodeausführung |
| Microsoft System Center Endpoint Protection | Kritisch \ Remotecodeausführung |
| Microsoft Security Essentials | Kritisch \ Remotecodeausführung |
| Windows Defender für Windows 7 | Kritisch \ Remotecodeausführung |
| Windows Defender für Windows 8.1 | Kritisch \ Remotecodeausführung |
| Windows Defender für Windows RT 8.1 | Kritisch \ Remotecodeausführung |
| Windows Defender für Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Kritisch \ Remotecodeausführung |
| Windows Intune Endpoint Protection | Kritisch \ Remotecodeausführung |
| Microsoft Exchange Server 2013 | Kritisch \ Remotecodeausführung |
| Microsoft Exchange Server 2016 | Kritisch \ Remotecodeausführung |
| Microsoft Windows Server 2008 R2 | Kritisch \ Remotecodeausführung |
Exploitability Index
Die folgende Tabelle enthält eine Exploitability-Bewertung der einzelnen Sicherheitsrisiken, die in diesem Monat behoben wurden. Die Sicherheitsanfälligkeiten werden in der Reihenfolge der Bulletin-ID und dann der CVE-ID aufgeführt. Es werden nur Sicherheitsrisiken mit einer Schweregradbewertung "Kritisch" oder "Wichtig" in den Bulletins einbezogen.
Gewusst wie diese Tabelle verwenden?
In dieser Tabelle erfahren Sie mehr über die Wahrscheinlichkeit der Codeausführung und denial-of-Service-Exploits innerhalb von 30 Tagen nach der Veröffentlichung des Sicherheitsbulletins für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen. Überprüfen Sie jede der nachstehenden Bewertungen gemäß Ihrer spezifischen Konfiguration, um die Bereitstellung der Updates dieses Monats zu priorisieren. Weitere Informationen dazu, was diese Bewertungen bedeuten und wie sie ermittelt werden, finden Sie unter Microsoft Exploitability Index.
In den folgenden Spalten bezieht sich "Latest Software Release" auf die betroffene Software, und "Ältere Softwareversionen" bezieht sich auf alle älteren, unterstützten Versionen der Betreffsoftware, wie in den Tabellen "Betroffene Software" und "Nicht betroffene Software" im Bulletin aufgeführt.
| CVE-ID | Titel der Sicherheitsanfälligkeit | Exploitability Assessment for\ Latest Software Release | Exploitability Assessment for\ Older Software Release | Denial of Service\ Exploitability Assessment |
|---|---|---|---|---|
| CVE-2017-0290 | Sicherheitsrisiko bei Speicherbeschädigung des Skriptmoduls | 2 - Ausbeutung weniger wahrscheinlich | 2 - Ausbeutung weniger wahrscheinlich | Nicht zutreffend |
Häufig gestellte Fragen zu Beratungen
Veröffentlicht Microsoft ein Sicherheitsbulletin, um diese Sicherheitsanfälligkeit zu beheben?
Nein Microsoft veröffentlicht diese Informationssicherheitsempfehlung, um Kunden darüber zu informieren, dass ein Update auf das Microsoft Malware Protection Engine eine Sicherheitslücke behandelt, die an Microsoft gemeldet wurde.
In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um dieses Update zu installieren.
Warum ist keine Aktion erforderlich, um dieses Update zu installieren?
Als Reaktion auf eine sich ständig ändernde Bedrohungslandschaft aktualisiert Microsoft häufig Schadsoftwaredefinitionen und das Microsoft Malware Protection Engine. Um effektiv zum Schutz vor neuen und weit verbreiteten Bedrohungen zu beitragen, müssen Antischadsoftware-Software rechtzeitig mit diesen Updates auf dem neuesten Stand gehalten werden.
Für Unternehmensbereitstellungen sowie Endbenutzer trägt die Standardkonfiguration in Microsoft-Antischadsoftware dazu bei, sicherzustellen, dass Schadsoftwaredefinitionen und das Microsoft Malware Protection-Modul automatisch auf dem neuesten Stand gehalten werden. In der Produktdokumentation wird außerdem empfohlen, dass Produkte für die automatische Aktualisierung konfiguriert sind.
Bewährte Methoden empfehlen Kunden regelmäßig zu überprüfen, ob die Softwareverteilung, z. B. die automatische Bereitstellung von Updates des Microsoft Malware Protection Engine- und Schadsoftwaredefinitionen, erwartungsgemäß in ihrer Umgebung funktioniert.
Wie oft werden die Microsoft Malware Protection Engine und Schadsoftwaredefinitionen aktualisiert?
Microsoft veröffentlicht in der Regel ein Update für das Microsoft Malware Protection Engine einmal pro Monat oder nach Bedarf, um vor neuen Bedrohungen zu schützen. Microsoft aktualisiert die Schadsoftwaredefinitionen in der Regel dreimal täglich und kann die Häufigkeit bei Bedarf erhöhen.
Je nachdem, welche Antischadsoftware von Microsoft verwendet wird und wie sie konfiguriert wird, kann die Software jeden Tag nach Modul- und Definitionsupdates suchen, wenn sie mit dem Internet verbunden sind, bis zu mehreren Male täglich. Kunden können auch jederzeit manuell nach Updates suchen.
Wie kann ich das Update installieren?
Ausführliche Informationen zum Installieren dieses Updates finden Sie im Abschnitt " Vorgeschlagene Aktionen".
Was ist das Microsoft Malware Protection Engine?
Das Microsoft Malware Protection Engine, mpengine.dll, bietet die Scan-, Erkennungs- und sauber funktionen für Microsoft Antivirus- und Antispyware-Software.
Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen an Funktionen?
Ja. Zusätzlich zu den Änderungen, die für diese Sicherheitsanfälligkeit aufgeführt sind, enthält dieses Update ausführliche Verteidigungsupdates, um sicherheitsbezogene Features zu verbessern.
Wo finde ich weitere Informationen zur Microsoft-Antischadsoftwaretechnologie?
Weitere Informationen finden Sie auf der Microsoft Center zum Schutz vor Malware-Website.
Sicherheitsanfälligkeit in microsoft Malware Protection Engine – Sicherheitsanfälligkeit in Remotecodeausführung – CVE-2017-0290
Eine Sicherheitslücke zur Remotecodeausführung ist vorhanden, wenn das Microsoft Malware Protection-Modul keine speziell gestaltete Datei überprüft, die zu Speicherbeschädigungen führt.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code im Sicherheitskontext des LocalSystem-Kontos ausführen und die Kontrolle über das System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Um diese Sicherheitsanfälligkeit auszunutzen, muss eine speziell gestaltete Datei von einer betroffenen Version des Microsoft Malware Protection Engine gescannt werden. Es gibt viele Möglichkeiten, wie ein Angreifer eine speziell gestaltete Datei an einem Speicherort platzieren kann, der vom Microsoft Malware Protection Engine gescannt wird. Beispielsweise könnte ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei an das System des Opfers zu übermitteln, das gescannt wird, wenn die Website vom Benutzer angezeigt wird. Ein Angreifer könnte auch eine speziell gestaltete Datei über eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht übermitteln, die beim Öffnen der Datei gescannt wird. Darüber hinaus könnte ein Angreifer Websites nutzen, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, um eine speziell gestaltete Datei an einen freigegebenen Speicherort hochzuladen, der von dem auf dem Hostingserver ausgeführten Malware Protection Engine gescannt wird.
Wenn die betroffene Antischadsoftware den Echtzeitschutz aktiviert hat, scannt das Microsoft Malware Protection Engine Dateien automatisch, was zu einer Ausbeutung der Sicherheitsanfälligkeit führt, wenn die speziell gestaltete Datei gescannt wird. Wenn die Überprüfung in Echtzeit nicht aktiviert ist, muss der Angreifer warten, bis eine geplante Überprüfung stattfindet, damit die Sicherheitsanfälligkeit ausgenutzt wird. Alle Systeme, auf denen eine betroffene Version von Antischadsoftware ausgeführt wird, sind in erster Linie gefährdet.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie das Microsoft Malware Protection Engine speziell gestaltete Dateien überprüft.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als diese Sicherheitsempfehlung ursprünglich ausgestellt wurde.
Vorgeschlagene Aktionen
Überprüfen, ob das Update installiert ist
Kunden sollten überprüfen, ob die neueste Version des Microsoft Malware Protection Engine und Definitionsupdates aktiv heruntergeladen und für ihre Microsoft-Antischadsoftwareprodukte installiert werden.Weitere Informationen zum Überprüfen der Versionsnummer für das Microsoft Malware Protection Engine, das Ihre Software derzeit verwendet, finden Sie im Abschnitt "Überprüfen der Updateinstallation" im Microsoft Knowledge Base-Artikel 2510781.
Überprüfen Sie für betroffene Software, ob die Version des Microsoft Malware Protection Engine 1.1.13704.0 oder höher ist.
Installieren Sie bei Bedarf das Update.
Administratoren von Antischadsoftwarebereitstellungen für Unternehmen sollten sicherstellen, dass ihre Updateverwaltungssoftware so konfiguriert ist, dass Modulupdates und neue Schadsoftwaredefinitionen automatisch genehmigt und verteilt werden. Unternehmensadministratoren sollten auch überprüfen, ob die neueste Version des Microsoft Malware Protection Engine und Definitionsupdates aktiv heruntergeladen, genehmigt und in ihrer Umgebung bereitgestellt werden.Für Endbenutzer bietet die betroffene Software integrierte Mechanismen für die automatische Erkennung und Bereitstellung dieses Updates. Für diese Kunden wird das Update innerhalb von 48 Stunden nach seiner Verfügbarkeit angewendet. Der genaue Zeitrahmen hängt von der verwendeten Software-, Internetverbindungs- und Infrastrukturkonfiguration ab. Endbenutzer, die nicht warten möchten, können ihre Antischadsoftware manuell aktualisieren.
Weitere Informationen zum manuellen Aktualisieren der Microsoft Malware Protection Engine und Schadsoftwaredefinitionen finden Sie im Microsoft Knowledge Base-Artikel 2510781.
Danksagungen
Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:
- Natalie Silvanovich und Tavis Ormandy von Google Project Zero
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. Mai 2017): Empfehlung veröffentlicht.
- V1.1 (11. Mai 2017): Link zu denselben Informationen im Sicherheitsupdatehandbuch hinzugefügt. Dies ist nur eine Informationsänderung.
- V1.2 (12. Mai 2017): Der betroffenen Softwaretabelle wurden Einträge hinzugefügt. Dies ist nur eine Informationsänderung.
Seite generiert 2017-06-14 10:20-07:00.