Mit einem Notfall-Patch schließt Microsoft eine extrem kritische Sicherheitslücke in fast allen Windows-Versionen. Diese Lücke können Angreifer nutzen, um dadurch die Kontrolle über ein System zu übernehmen.

Die Schwachstelle hatten die beiden Google-Forscher Tavis Ormandy und Natalie Silvanovich entdeckt und letzten Freitag dem Hersteller Microsoft gemeldet. Auf Twitter kündigten die Forscher an, eine „unfassbar schlimme“ Windows-Lücke gefunden zu haben, und die veröffentlichten Details machen deutlich, dass die beiden damit nicht übertrieben haben.

Die Schwachstelle steckt in der Virenschutz-Engine

Die Lücke befindet sich in Micosofts Virenscanner-Engine, die schon seit Windows 8 unter der Bezeichnung „Defender“ fest zum Betriebssystem gehört. In älteren Versionen von Windows ist sie Teil des gleichnamigen Antispyware-Programms und auch in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE) enthalten.

Die Engine untersucht zu verarbeitende Daten vor der Ausführung auf Schadcode. Hält die Engine den Inhalt von Netzwerkpaketen oder Dateien zum Beispiel für JavaScript-Code, führt sie ihn vorab zu Analysezwecken aus – und genauda liegt der Hase im Pfeffer!

Denn dabei macht die Microsoft Malware Protection Engine (MsMpEn) einen fatalen Fehler, den der Bericht der Google-Forscher zeigt: Dabei kommt es nämlich unter bestimmten Umständen zu einer Type Confusion.

Eine Funktion des zur Überprüfung von JavaScript-Codes benutzten Interpreters überprüft ihre eigenen Eingabewerte nicht ausreichend, und das führt letztendlich dazu, dass Angreifer die Kontrolle über diesen Prozess übernehmen können. Besonders fatal daran ist, dass dieser Prozess mit System-Rechten läuft und auch nicht von einer Sandbox geschützt wird. Deshalb kann der Angreifer durch diese Lücke die höchstmögliche Rechte über das verwundbare System erlangen.

Laut Microsoft sind die folgenden Produkte davon betroffen :

  • Windows 8 bis 10 (einschließlich RT)
  • Microsoft Security Essentials
  • Windows Defender for Windows 7 – 8.1 (einschließlich RT)
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Windows Intune Endpoint Protection

Ein Update der Microsoft Malware Protection Engine, das laut Microsoft auch automatisch installiert wird, beseitigt das Problem. Die abgesicherte Version der Microsoft Malware Protection Engine hat dann die Versionsnummer 1.1.13704.0.

Wer sicher sein möchte und das Update bisher noch nicht bekommen hat, kann den Update auch manuell starten. Unter Windows 10 mit Creators Update finden Sie den Update-Knopf am einfachsten mit eine Startmenü-Suche nach „Defender“, „Windows Defender Security Center“, „Viren- & Bedrohungsschutz“ und dann „Schutzupdates“.