Kritisk sårbarhet i Microsoft Malware Protection Engine

En sårbarhet i Microsoft Malware Protection Engine (CVE-2017-0290) möjliggör kodexekvering (RCE).

Vad har hänt?

En kritisk sårbarhet har upptäckts i Microsoft Malware Protection Engine[1]. Sårbarheten upptäcktes av Natalie Silvanovich och Tavis Ormandy från Google Project Zero [2]. Bristen beror på att MsMpEng inte korrekt processar skadligt utformade filer.
En angripare kan utnyttja denna sårbarhet och exekvera godtycklig kod (RCE).

Vilka produkter / versioner är påverkade ?

• Microsoft Forefront Endpoint Protection 2010
• Microsoft Endpoint Protection
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center Endpoint Protection
• Microsoft Security Essentials
• Windows Defender for Windows 7
• Windows Defender for Windows 8.1
• Windows Defender for Windows RT 8.1
• Windows Defender for Windows 10
• Windows Defender for Windows 10, 1511
• Windows Defender for Windows 10, 1607
• Windows Defender for Windows 10, 1703
• Windows Server 2016
• Windows Intune Endpoint Protection

Vad innebär sårbarheten?

En angripare kan på distans utnyttja sårbarheten för att exekvera godtycklig kod. Koden exekverar med "LocalSystem"-rättigheter och angriparen kan skaffa sig full kontroll över ett sårbart system.

Åtgärder

CERT-SE rekommenderar att systemansvariga säkerställa att version 1.1.13704.0 eller senare av
Microsoft Malware Protection Engine används.
Om en tidigare version än 1.1.13704.0 påträffas bör en manuell uppdatering av mjukvaran utföras skyndsamt, samt verifiering av inställningarna för de automatiska uppdateringarna.

Se Microsofts dokumentation[3] för mer information om hur man manuellt uppdaterar denna mjukvara.

[1] https://technet.microsoft.com/en-us/library/security/4022344
[2] https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5
[3] https://support.microsoft.com/en-us/help/2510781/microsoft-malware-protection-engine-deployment-information