Gerade heute morgen, schrieben wir über die „schlimmster Windows-Remotecode exec in den letzten Speicher“von Google Project Zero Forscher Tavis Ormandy und Natalie Silvanovich entdeckt. Der erschreckende Fehler ist nun öffentlich gemacht und wird als CVE-2017-0290 identifiziert. Der Fehler war in der Microsoft Malware Protection Engine läuft in den meisten von Microsofts Anti-Malware-Tool mit dem Betriebssystem gebündelt. Wie sich herausstellt, der MsMpEng Motor war überprivilegierten und un-Sandbox.
Was ist überraschendsten, jedoch, ist, dass Microsoft ist es gelungen, eine einen Notfall-Patch zu veröffentlichen Sicherheitshinweis.
Hier ist die Liste der betroffenen Produkte:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security für Sharepoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender für Windows 7
- Windows Defender für Windows 8.1
- Windows Defender für Windows RT 8.1
- Windows Defender für Windows 10, Fenster 10 1511, Fenster 10 1607, Windows Server 2016, Fenster 10 1703
- Windows Intune Endpoint Protection
Mehr über CVE-2017-O290
Offenbar, die MsMpEng Engine zugegriffen Remote-Zugriff mehr kritischen via werden könnte, allgegenwärtige Windows-Dienste, wie Exchange und die IIS-Webserver.
Laut Google Fehlerbericht, "Schwachstellen in MsMpEng gehören zu den schwersten möglich in Windows, aufgrund des Privileg, Zugänglichkeit, und Allgegenwart des Service".
auf Arbeitsstationen, Angreifer können mpengine zugreifen, indem Sie E-Mails an Benutzer zu senden (die E-Mail lesen oder Öffnen von Anlagen ist nicht notwendig,), Besuch Links in einem Web-Browser, Instant Messaging und so weiter. Dieser Grad der Zugänglichkeit ist möglich, weil MsMpEng ein Dateisystem Minifilter nutzt all System-Dateisystem-Aktivität abzufangen und überprüfen, so das Schreiben kontrolliert Inhalte, um überall auf der Festplatte (z.B.. Caches, temporäre Internetdateien, downloads (noch nicht bestätigten Downloads), Zubehör, etc) ist genug Funktionalität in mpengine zugreifen.
Was den Updates, sie werden automatisch auf den Motor in den nächsten zwei Tagen geschoben werden, Microsoft sagt. Das Update behebt einen Fehler, die Remotecodeausführung, wenn die Microsoft Malware Protection Engine scannt eine speziell gestaltete Datei ermöglichen könnte,. Ein Angreifer, der erfolgreich ausnutzt, CVE-2017-0290, beliebigen Code im Sicherheitskontext des Kontos Localsystem ausführen kann und die Kontrolle über das System übernehmen, Microsoft fügt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: