Windows Defender: Microsoft baut Sicherheitslücke bei Bug-Fix ein
In Malware-Analyse-Software finden sich immer wieder besonders schwere Lücken. Das gilt auch für die Malware Protection Engine (MPEngine) von Microsoft, die unter anderem ein Hauptbestandteil des Windows Defender ist. Googles Project Zero hat eine eher kuriose Sicherheitslücke in dem Werkzeug von Microsoft gefunden, denn diese ist offenbar beim Beheben von anderen Fehlern versehentlich eingebaut worden.
Das geht zumindest aus der dazugehörigen Beschreibung im Bug-Tracker(öffnet im neuen Fenster) bei Google hervor. Dort vermutet der Sicherheitsforscher und Entdecker der Lücke, Thomas Dullien alias Halvar Flake, dass der Code der MPEngine zum Verarbeiten von RAR-Dateien ein modifizierter Fork des ursprünglichen Open-Source-Codes des Werkzeugs unrar sei.
Darüber hinaus seien in der von Microsoft intern genutzten Version bereits einige Fehler behoben worden, indem bestimmte Variablen von vorzeichenbehafteten Ganzzahlen (signed int) zu vorzeichenlosen (unsigned) überführt worden seien. "Es scheint, dass diese Umwandlung von signed in unsigned jedoch zu einer neuen Sicherheitslücke führte" , heißt es in dem Bericht.
Kritische Lücke bereits behoben
Mit Hilfe einer speziell konfigurierten RAR-Datei ermöglicht der Fehler Angreifern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE), sofern die Datei auf dem System landet und von der MPEngine analysiert wird. Das ist aber etwa schon durch das Verschicken als Anhang einer E-Mail möglich oder auch beim Hochladen der Datei auf einen Server, falls dieser mit Windows läuft. Microsoft selbst stuft die Lücke als kritisch ein.
Weitere Details zu dem Fehler(öffnet im neuen Fenster) mit der Bezeichnung CVE-2018-0986 sowie zu betroffenen Produkten liefert einer Übersichtsseite von Microsoft. Der Hersteller hat ein Update an seinem üblichen Patch-Dienstag bereits verteilt. Die MPEngine ab Version 1.1.14700.5 ist nicht mehr von dem Fehler betroffen.