Googles Sicherheitsforscher Tavis Ormandy hatte vor ein paar Tagen eine Sicherheitslücke im Antimalware Modul vom Microsoft Defender gefunden, der es ermöglicht sich in die Engine zu hacken. Er hatte die Lücke zwar veröffentlicht, aber keine genauen Informationen herausgegeben. Diese hat nur Microsoft erhalten und schnell darauf reagiert.
Heute Nacht hat Microsoft dann ein W“indows Defender Update ausgerollt, welches die Modulversion des Antimalware-Clienten von der 1.1.13701.0 auf die 1.1.13704.0 erhöhte. Hat man diese Version installiert, dann ist man nun vor Angriffen geschützt. Herausgegeben hat es Microsoft unter der „Microsoft Security Advisory 4022344“.
Welche Software / Betriebssystem ist betroffen:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- icrosoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Windows Intune Endpoint Protection
- Microsoft Security Essentials
- Windows Defender for Windows 7
- Windows Defender for Windows 8.1 und RT 8.1
- Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
- Auch die Insider Version hat dieses Update erhalten.
In der schreibt Microsoft nur soviel: „A remote code execution vulnerability exists when the Microsoft Malware Protection Engine does not properly scan a specially crafted file leading to memory corruption.
An attacker who successfully exploited this vulnerability could execute arbitrary code in the security context of the LocalSystem account and take control of the system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.“
Wie kontrolliere ich es?
Das Update wird automatisch über das Signaturupdate vom Defender eingespielt. Überprüfen könnt ihr es:
- Windows 10 bis 1703 + Insider: Einstellungen Update und Sicherheit -> Windows Defender -> Info -> Modulversion
- Windows 10 ab 1703 zusätzlich: Windows Defender Security Center öffnen -> Einstellungen (Zahnrad) Rechts dann Info -> Modulversion
- Wer eine externe AV-Software installiert hat, kann über Windows-Taste + R regedit eingeben und starten zum Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates Rechts dann EngineVersion gehen. Dort steht die Versionsnummer
Quelle: technet.microsoft.com
Au ja…habe ich gestern gemerkt. Das Windows Malicious Malware Tool hat sich während des Scan abgeschaltet. Dann im Zuverlässigkeitsverlauf die Meldung: Das Tool funktioniert nicht mehr. Wollte es eigentlich neu installieren. Aber heute ist ja Patch-Day, und da ist es ja immer dabei.
Übrigens: Mail und Calendar funktionierte auch nicht mehr. Ob da ein Zusammenhang besteht? Habe die App mal zurückgesetzt. Jetzt ist wieder alles ok.
Und wieder mal hat Schlangenöl(„Sicherheits“)-Software Rechner unsicher gemacht.
Jetzt noch 1–2 Tage beim Windows-Update warten, dann ist das Sicherheitsupdate in üblicher Langsamkeit da.
So läuft das nämlich mit der Verteilung oft genug.
Wie kann MS das nicht schneller bereit stellen? Unter Linuxen geht das auch bei den Repos.
Stimmt schon. Irgendwie macht das doch misstrauisch gegenüber dem Sicherheitsversprechen, dass der Defender bzw. das Tool entsprechend auch arbeitet. Ausgerechnet in einem Malware Removal Tool eine Sicherheitslücke…schon irgendwie doch krass.
@Gwen Das wird über die Defender-Updates bereitgestellt. Nicht über die normalen Updates.
Auf drei PCs mit Defender ist das Defender-Update immer noch nicht da. Weder am Systemstart vor einer Stunde, noch per manuellem Update der Defender.
So stelle ich mir Microsofts Verständnis von funktionierender Sicherheit vor: Lücke öffentlich, Updates noch nicht verfügbar, obwohl sie von MS angeblich gefixt wurde.
Vielleicht sind auch nur Enterprise-Versionen bevorzugt, und die Normalos mit Home, Edu und Pro werden spät beliefert, weil sie keine Tausende € pro Jahr in die Kasse schwemmen.
Und Updates per Hand anstoßen? Auch eine antiquiierte Denkweise! Sicherheitsupdates müssen automatisch installiert werden.
Das Schweigen der Updates … Danke MS.
Ich habe schon früher die „Update“-Politik von MS kritisiert, wenn es um Sicherheit ging.
Damals war es Adobe Flash Player, das vom MS erst Tage oder eine Woche nach Adobes schon ausgelieferten Updates kam; jetzt hat es Microsofts eingekauftes Schlangenöl erwischt.
Als Anwenderin von Win 10 ärgert mich sowas.
„Windows 10 ab 1703: Windows Defender Security Center öffnen -> Einstellungen (Zahnrad) Rechts dann Info -> Modulversion“
Kann ich nicht finden. Bei mir sehe ich im Security Center keine „Einstellungen“. In „Update und Sicherheit“ –> Defender wird aber die Version 1.1.13704.0 angezeigt.
Joern
Hab dies mal erweitert im Beitrag. Danke Joern.
Diesen Hinweis habe ich im Artikel http://www.borncity.com/blog/2017/05/09/ms-malware-protection-engine-welche-version-habe-ich/ auch als Kommentar erhalten. Dort wurde die Info gegeben, dass ein Dritthersteller AV installiert war. Möglicherweise liegt es da dran?
Kann durchaus sein. Aber wenn gibt es ja auch noch den Registry-Eintrag.
OT: Ich hoffe du hast dich gestern noch beruhigt zurück gelehnt und auf deinen Blog angestossen.
Da ich Fremdsoftware (GDATA) benutze, ist bei mir keine Versionsnummer im Windows Defender sichtbar (weil inaktiv).
Ich hoffe, heute abend wird das eingespielt.
Weiß jemand zufällig, wie man das auf anderen Wegen überprüfen kann, z.B. in der Registry?
Der Defender wird ja trotzdem mit Updates versorgt. Siehe https://www.deskmodder.de/wiki/index.php?title=Defender_Updates_installieren_sich_trotz_Deaktivierung_Windows_10
Den Eintrag findest du unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates Rechts dann EngineVersion
Super, Danke!
> Der Defender wird ja trotzdem mit Updates versorgt.
Kann nicht sein, denn ich habe immer noch die alten Versionsnummern auf einem PC, auf dem der Defender deaktiviert ist!
Wenn das nicht über das Windows-Update kommt, haben PCs mit deaktiviertem Defender, bei dem später mal der Defender wieder aktiviert wird, die Lücke immer noch. Seit wann ist denn Deaktivierung dasselbe wie „Nicht installiert“.
Wo doch der Defender eine sicherheitskritische Windows-Komponente ist.
Jetzt vor einer Stunde haben sich die 3 PCs das endlich Update holen können.
Wenn man bedenkt, dass heute Nacht das Update rauskam ist das eine erhebliche Verzögerung, die nicht vertretbar ist für ein kritisches Sicherheitsupdate.