Die Malware Protection Enigne (MPE) von Microsoft kann sich an einer entsprechend präparierten Datei „verschlucken“ und so Angreifern die Tür weit öffnen.
Diverse Sicherheitslösungen von Microsoft nutzen die MPE, unter anderem der Windows Defender, der bei Windows 7, 8.1 und 10 zum Einsatz kommt. Laut Microsoft gibt es aktuell aber keine aktiven Angriffe.
Auch die Microsoft-Software Endpoint Protection, Exchange Server, Forefront Endpoint Protection, Security Essentials und Windows Server 2016 werden durch die kritische Sicherheitslücke (CVE-2017-11937) gefährdet. Eine vollständige Liste der bedrohten Produkte steht in der offiziellen Warnmeldung.
Ein Angriff ist schnell durchgeführt
Angreifer brauchen der MPE nur eine präparierte Datei zum Scannen unterschieben. Die Überprüfung findet entweder automatisch durch die Echtzeitüberwachung oder während eines manuell ausgelösten Scans statt.
So oder so gibt es dann einen Speicherfehler, der letztendlich zur Ausführung von Schadcode führt, warnt der Konzern. Danach könnten Angreifer die volle Kontrolle über den angegriffenen Rechner erhalten.
So eine präparierte Datei können Angreifer ihren Opfern leicht unterschieben: Beispielsweise durch die Platzierung auf einer Internetseite oder durch das Zusenden per Email. Man kann sich auch einen Angriff auf Internet-Server vorstellen, zum Beispiel wenn gehostete Webseiten Besuchern eine Uploadmöglichkeit für Dateien anbieten, die von MPE gescannt werden.
Abgesicherte Version installiert?
Normalerweise sollte sich Microsofts Sicherheitspatch für MPE automatisch installieren, beispielsweise wenn sich der Windows Defender wieder aktuelle Signaturupdates holt. Die Benutzer sollten aber sicherstellen, dass zumindest die abgesicherte MPE-Version 1.1.14405.2 installiert ist.
Unter Windows 10 kann man das prüfen, indem man „Defender“ in die Suche eingibt und dann „Windows Defender-Einstellungen“ anklickt. Dort findet man die Angabe der installierte MPE-unter „Modulversion“. Sollte diese nicht mehr aktuell sein, kann man Windows Defender per Windows Update auf den aktuellen Stand bringen.
