Antivirus: Microsoft bringt Extra-Patch für kritische Lücke in Defender

Microsoft hat eine kritische Schwachstelle in der hauseigenen Antivirensoftware Windows Defender gepatcht. Angreifer sollen in der Lage gewesen sein, mit Hilfe einer speziell präparierten Datei beliebigen Code auszuführen. Patches werden automatisch verteilt.

Stellenmarkt

1. ETAS GmbH, Stuttgart
2. Spiegel-Verlag Rudolf Augstein GmbH & Co. KG, Hamburg

Ein Angreifer muss den Virenscanner dazu bringen, eine bestimmte Datei zu scannen, die dann den Exploit triggert. Das könnte eine auf einer Webseite mitgelieferte Datei sein oder ein E-Mail-Anhang - dieser müsste dann in der Regel aber vom Benutzer geöffnet werden. Nach Angaben von Microsoft würden Dateien zudem automatisch gescannt, wenn der Echtzeitschutz der Software aktiviert wird.

Angreifer können Code ausführen

Angreifer können Code "im Sicherheitskontext des LocalSystem-Accounts" ausführen. Dieser erste Angriff könnte dann genutzt werden, um Persistenz auf einem System zu erlangen und Malware nachzuladen. Nach Angaben von Microsoft sind derzeit keine aktiven Angriffe bekannt, die Ausnutzbarkeit der Sicherheitslücke bewertet das Unternehmen als gering.

Bei dem durch den Exploit getriggtern Fehler soll es sich um ein fehlerhaftes Speichermanagement handeln. Weitere Details sind derzeit nicht bekannt. Betroffen sind Windows Defender, Microsoft Endpoint Protection, Microsoft Exchange Server, Microsoft Forefront Endpoint Protection und Microsoft Security Essentials. Die Sicherheitslücke ist mit der Nummer CVE-2017-11937 bezeichnet. Updates werden von Microsoft automatisch verteilt, können aber auch manuell angestoßen werden. Nutzer sollten darauf achten, nur noch die Version 1.1.14405.2 zu verwenden.

Im Mai dieses Jahres hatte Googles Project Zero bereits mehrere kritische Schwachstellen in der Software gefunden.