Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender

Google heeft een ernstige kwetsbaarheid aangetroffen in de engine voor de beveiligingsproducten in Windows, zoals Defender. Via het lek is op afstand code uit te voeren op systemen. Microsoft heeft een update uitgebracht voor de Malware Protection Engine.

Volgens Microsoft verhelpt de update kwetsbaarheid cve-2017-0290 in de Malware Protection Engine waarmee een aanvaller willekeurig code uit kon voeren met LocalSystem-accountrechten, waarmee een systeem volledig over kan worden genomen. Het lek is aangetroffen door Google Project Zero, dat beveiligingsexperts inzet om zero-day-kwetsbaarheden te vinden.

Tavis Ormandy van het project meldt dat kwetsbaarheden in de engine, de MsMpEng, onder de ernstigste kwetsbaarheden vallen die mogelijk zijn in Windows, vanwege de verhoogde rechten, de toegankelijkheid en de alomtegenwoordigheid van de service. De engine is de basis voor Defender, Security Essentials en Endpoint Protection. Het gaat om versies van de engine vanaf 1.1.10701.0 en later, waarmee het probleem speelt voor Windows 7, 8, 8.1, 10, Windows Server 2012 en Windows Server 2016.

MsMpEng draait zonder sandboxing en is op afstand te benaderen zonder authenticatie via verschillende Windows-services zoals Exchange en IIS. Om precies te zijn gaat het bij de kwetsbaarheid om een validatiefout van een component van mpengine, dat op zijn beurt het centrale onderdeel van de MsMpEng is. Dat onderdeel, met de naam Nscript, is een JavaScript-interpreter die Microsoft standaard bij elke Windows-versie gebruikt voor het evalueren van verdachte code.

Ormandy meldde afgelopen weekend al via Twitter dat hij samen met Natalie Silvanovich van Project Zero een 'crazy bad' lek in Windows had aangetroffen. Zonder al teveel op de details in te gaan liet hij al weten dat aanvallen werken bij standaard geïnstalleerde Windows-systemen die niet op hetzelfde lokale netwerk hoeven te zitten. Bovendien zijn aanvallen met worm-malware uit voeren, gaf hij aan. Na publicatie van de details gaf hij Microsoft complimenten voor de snelle reactie.

Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiëren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.13704.0 of later. Als dat niet het geval is moeten gebruikers de update alsnog handmatig doorvoeren.

Reacties (106)

Opblaaskrokodil

9 mei 2017 11:42

Het lek betreft dan ook Windows 8, 8.1, 10, Windows Server 2012 en Windows Server 2016.

Volgens de Security Advisory op TechNet is dit verhaal ook van toepassing op Windows 7.

Jan-E @Opblaaskrokodil • 10 mei 2017 01:16

Windows 2008 is nagenoeg een kloon van Windows 7. Mijn Windows 2008 R2 servers draaien na de update (MS Security Essentials > pijltje naast help > about)

Antimalware Client Version: 4.10.209.0
Engine Version: 1.1.13704.0
Antivirus definition: 1.243.69.0
Antispyware definition: 1.243.69.0
Network Inspection System Engine Version: 2.1.12706.0
Network Inspection System Definition Version: 116.88.0.0

Ik neem dus aan dat Windows Server 2008 ook kwetsbaar was.

Onno 9 mei 2017 11:04

Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiëren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.10701.0 of later.

Versie 1.1.10701.0 is antiek, de versie waar het om gaat is 1.1.13704.0.

Verwijderd @Onno • 9 mei 2017 11:15

Volgens die CVE is het inderdaad versies lager dan 1.1.13704.0 die affected zijn. Beetje slordig om dit verkeerd te vermelden in het artikel aangezien mensen nu kunnen denken dat ze veilig zijn terwijl ze nog hartstikke vulnerable zijn

. Goed gespot!

crypt0rr

@Onno • 9 mei 2017 11:11

Wat bedoel je precies? Zoals ik de tekst lees moet je een hogere versie hebben dan 1.1.10701.0 om niet kwetsbaar te zijn.

Anonymoussaurus

Google

@crypt0rr • 9 mei 2017 11:12

Op de pagina staat wat anders zoals @Onno zegt: https://technet.microsoft.com/en-us/library/security/4022344

http://imgur.com/vIn2qAW

crypt0rr

@Anonymoussaurus • 9 mei 2017 11:15

References
Identification
Last version of the Microsoft Malware Protection Engine affected by this vulnerability
Version 1.1.13701.0
First version of the Microsoft Malware Protection Engine with this vulnerability addressed
Version 1.1.13704.0

Hm, als ik dit zo lees dan zou die versie dus kwetsbaar zijn?

Zeehond FP Admin / FP PowerMod / Moderator Wonen en Mobiliteit @crypt0rr • 9 mei 2017 11:27

Onder de tabel staat weer:

*If your version of the Microsoft Malware Protection Engine is equal to or greater than this version, then you are not affected by this vulnerability and do not need to take any further action. For more information on how to verify the engine version number that your software is currently using, see the section, "Verifying Update Installation", in Microsoft Knowledge Base Article 2510781.

waar ik uit begrijp dat versie 1.1.13704.0 juist niet kwetsbaar is.

crypt0rr

@Zeehond • 9 mei 2017 11:32

First version of the Microsoft Malware Protection Engine with this vulnerability addressed
Version 1.1.13704.0

Even vrij vertaald naar NL: Eerste versie van de Engine Microsoft Malware Protection met dit beveiligingslek
versie 1.1.13704.0

Doet vermoeden dat deze versie wel kwetsbaar is, ik vermoed echter dat deze niet kwetsbaar is gezien de CVE.

Aer0 @crypt0rr • 9 mei 2017 11:36

Nee, addressed betekent in dit geval aangestipt, geregeld, opgelost.

Zeehond FP Admin / FP PowerMod / Moderator Wonen en Mobiliteit @crypt0rr • 9 mei 2017 11:41

http://www.cve.mitre.org/...me.cgi?name=CVE-2017-0290 (link uit het nieuwsbericht), geeft ook het volgende aan:

NScript in mpengine in Microsoft Malware Protection Engine with Engine Version before 1.1.13704.0, as used in Windows Defender and other products, allows remote attackers to execute arbitrary code or cause a denial of service (type confusion and application crash) via crafted JavaScript code within any file scanned by this engine.

Cluefull @crypt0rr • 9 mei 2017 13:30

Nee, Version 1.1.13701.0 is de laatste met lek, Version 1.1.13704.0 de eerste met verholpen lek.

mjz2cool @crypt0rr • 9 mei 2017 14:17

nee, die laatste die je noemt is de eerste versie waar het probleem aangepakt ("addressed") is

-edit-
antwoord was al gegeven, niet goed gelezen

[Reactie gewijzigd door mjz2cool op 22 juli 2024 15:04]

Ché Mig @crypt0rr • 9 mei 2017 11:43

Zie https://technet.microsoft.com/en-us/library/security/4022344.
Je moet dus hoger hebben dan versie 1.1.13704.0.

Tweakers beschrijft in de laatste alinea een compleet ander probleem uit 2014.

Valen_76 @Ché Mig • 9 mei 2017 12:57

Hoger of gelijk!

BenVenNL 9 mei 2017 10:56

Het idee dat een enorm concern als Google met al haar resources dit lek vind. Dat betekend in mijn ogen (als leek) dat dit lek erg lastig te vinden was en daarom niet zomaar door elke wllekeurige hacker gevonden en misbruikt zou kunnen zijn.

Als een doorsnee amateur hacker dit lek zou vinden ... ja, dan wordt ik bang.

Dit bericht stelt mij alleen maar gerust.

Douweegbertje @BenVenNL • 9 mei 2017 11:00

Wie zegt alleen dat er niet mensen waren die deze exploit al misbruikte?

TWyk @Douweegbertje • 9 mei 2017 13:03

Alle onderzoekers die duizenden honeypots en andere methodes gebruiken om aanvallers op het internet te spotten die deze vunerability nog niet in het wild gezien hadden.

D11 @TWyk • 9 mei 2017 14:02

Dat wil niet zeggen dat het niet al misbruikt is. Het kan ook heel gericht ingezet zijn, waarmee de kans dat je een honeypot tegenkomt erg klein is.

garriej @BenVenNL • 9 mei 2017 11:00

"Tavis Ormandy van het project meldt dat kwetsbaarheden in de engine"

Het was dus 1 man die toevallig voor google werkt, met de hoeveelheid hackers(whitehat of niet) in de wereld is de kans dat het al gevonden was(en niet gemeld) of dat in de nabije toekomst door iemand anders was gevonden helemaal niet zo klein.

Aardedraadje

@garriej • 9 mei 2017 18:07

Niet helemaal correct. Tavis heeft hierbij samengewerkt met Natalie Silvanovich, ook van Project Zero. Wellicht hebben andere collega's van Project Zero ook geholpen, maar dat kan ik zover niet zien.

[Reactie gewijzigd door Aardedraadje op 22 juli 2024 15:04]

boyd91 @BenVenNL • 9 mei 2017 11:18

Alle eenzame hackers wereldwijd vormen samen toch een groep die aanzienlijke groter is dan de mensen die er bij Google mee bezig zijn. De samenwerking is er natuurlijk niet zoals die er bij Google is maar de opbrengsten van een dergelijke exploit zijn voor velen groot genoeg om er zeer serieus naar op zoek te gaan.

Daarnaast kunnen hackers ook enorme computing resources tot hun beschikking hebben door gebruik te maken van botnets.

Wat mij gerust stelt is dat Google de laatste tijd actief op zoek is naar kwetsbaarheden bij anderen dan alleen hun eigen systemen. Vooral Tavis Ormandy eigenlijk.. Eindelijk one of the good guys met een aanzienlijk gewicht die ook actief mee-'hackt'.

[Reactie gewijzigd door boyd91 op 22 juli 2024 15:04]

YopY @boyd91 • 9 mei 2017 12:47

> De samenwerking is er natuurlijk niet zoals die er bij Google is

Niet? Citation needed; hackers verenigen op het internet, starten soms beveiligingsbedrijven die danwel exploits verkopen aan de "goeien", danwel de "kwaaien", danwel beide, plus het grijze gebied dwz de NSA en co. Er zit veel geld in exploits.

latka @BenVenNL • 9 mei 2017 13:45

Als je leest wat het lek is dan moet je je toch wel zorgen maken: er wordt externe JavaScript uitgevoerd in een niet gesandboxed proces op local-system niveau. Deze samenvatting is al goed voor 15 red-flags en alarmbellen. Dat dit door het security team van MS als ontwerp toegelaten is, is niet kwalijk, maar misdadig slecht qua ontwerp. Aangezien Windows closed-source is is het lastig dit soort zaken te vinden, maar als zo'n drol van een ontwerpfout er een paar jaar in kan zitten dan maak ik (en met mij anderen) grote zorgen over het volgende Windows lek wat gevonden wordt.

Radiant @latka • 9 mei 2017 15:36

Closed- of open-source maakt in de praktijk weinig uit voor de kwaliteit van de code. Zie ook hoe men er pas achter kwam hoe brak OpenSSL eigenlijk in elkaar zit zodra er beveiligingsissues werden gevonden en het in de spotlight stond.

latka @Radiant • 9 mei 2017 21:56

Er waren, nog voor heartbleed, al voldoende signalen dat OpenSSL niet helemaal ok was (understatement). Er waren/zijn alternatieven (oa. PolarSSL van FoxIT) die wel veilig waren. Alleen tsja, iedereen doet OpenSSL en de kwaliteit who cares. Dus opensource is geen garantie voor veilig maar wel voor in staat zijn het te controleren. Closed source: geen van beide.

dakathefox @BenVenNL • 9 mei 2017 11:24

Het idee dat een enorm concern als Google met al haar resources dit lek vind. Dat betekend in mijn ogen (als leek) dat dit lek erg lastig te vinden was en daarom niet zomaar door elke wllekeurige hacker gevonden en misbruikt zou kunnen zijn.

Je moet het anders zien. Met 'hacken' zelf valt niet zoveel geld te verdienen, tenzij je een hack actief kunt misbruiken of doorverkopen. Google heeft gewoon de basisvoorzieningen gecreëerd waarmee het mogelijk wordt om een vast team van hackers fulltime op zoek te laten gaan. Maar als Fox-IT het kapitaal had, dan had het net zo goed Fox-IT kunnen zijn die dit gevonden had.

theduke1989 @BenVenNL • 9 mei 2017 12:45

Meerdere mensen werken er en eentje heeft het gevonden. Het is een groot team met veel experts erin.

En een amateur vindt dit niet dus, moet je blij zijn dat iemand dit vind en er oplossing voor is gekomen.

Menesis @BenVenNL • 9 mei 2017 13:33

Betekent waarsch ook dat de NSA en kompanen er van af weet

Anonymoussaurus

Google

9 mei 2017 11:03

Welke versie je draait, kun je zien door het volgende te doen:

Open Windows Defender > "Instellingen" > scroll naar beneden totdat je "engineversie" ziet staan. Bij mij is dit versie "1.1.13704.0".

Voor Windows 10 Creators Update: Settings -> Update & Security -> Windows Defender -> Version info: Engine version 1.1.13704.0

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 15:04]

Rudie_V @Anonymoussaurus • 9 mei 2017 11:24

Mijn windows zit toch anders in elkaar. In windows 10 CU is Defender vervangen door het Windows Defenders Security Center en daar zie ik de informatie niet terug.

W10 Creators Update: Settings -> Update & Security -> Windows Defender -> Version info: Engine version 1.1.13704.0

Caelorum @Rudie_V • 9 mei 2017 11:56

Je kan overigens ook defender openen dan op help klikken en about. Daar staan alle versienummers genoemd.

Anonymoussaurus

Google

@Rudie_V • 9 mei 2017 11:26

Aha, kan kloppen. Ik draai de Creators Update nog niet

. Bedankt voor de aanvulling.

0xygen500 9 mei 2017 11:04

Betaald Microsoft ook aan Google hiervoor?

Anonymoussaurus

Google

@0xygen500 • 9 mei 2017 11:06

Ik denk het niet. Ik weet niet of dit onderdeel is van het bug-bounty programma, maar Tavis Ormandy is gewoon in dienst bij Google en wordt dus door Google betaalt. Maar goed, dat is je vraag ook niet

. Wordt nergens duidelijk.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 15:04]

0xygen500 @Anonymoussaurus • 9 mei 2017 11:58

Ik snap dat die in dienst is van Google, maar hij moet ook te eten krijgen en dus salaris krijgen.

Anonymoussaurus

Google

@0xygen500 • 9 mei 2017 12:06

Ja, dat krijgt hij (Tavis) toch ook? Van Google..

0xygen500 @Anonymoussaurus • 9 mei 2017 12:13

Ja, maar dat hij dit vind voor Microsoft vraag ik mij toch af of google onkostenvergoeding krijgt omdat zij zijn salaris betalen. Zij hebben geen voordeel bij een fix van Windows.

anargeek @0xygen500 • 9 mei 2017 12:39

Jawel, want Chrome kan gebruikt worden om deze bug uit te buiten, dus Google is ook gebaat bij een fix van Microsoft.

En Tavis' baan is het uitzoeken van vulnerabilities, niet gelimiteerd tot Google's code. Hij heeft bijvoorbeeld onlangs ook een paar zeer kritieke fouten in Lastpass gevonden (die ook direct werden opgelost, want de regel is: "Als Tavis tweet, luister je")

brammieman @0xygen500 • 9 mei 2017 14:02

Er hoeft niet altijd aan verdiend te worden. Google en Microsoft harken genoeg binnen om elkaar het licht in de ogen te gunnen.
Zowel Google als Microsoft hebben ook goodwill projecten lopen die geen rendement hoeven te brengen.
Daarbij...Wat is het alternatief? Dat ie het niet aan MS vertelt??

[Reactie gewijzigd door brammieman op 22 juli 2024 15:04]

Verwijderd @0xygen500 • 9 mei 2017 17:45

Iedereen die bij Google werkt, kan daar gratis ontbijten, lunchen, dineren en meer in het bedrijfsrestaurant.

biglia 9 mei 2017 11:14

Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiëren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.10701.0 of later.

Versie 1.1.10701.0 is uitgekomen op 17 juni 2014? Klopt dit wel, of kijk ik verkeerd?
https://blogs.technet.mic...customers-on-17-jun-2014/

verdroidnogaan2 @biglia • 9 mei 2017 14:12

Het versienummer moet 1.1.13704.0 of nieuwer zijn.

TWyk 9 mei 2017 13:11

6 mei gevonden/gemeld
8 mei gepatched.

Defender updates kunnen vanwege de noodzaak om te reageren op nieuwe malwaredreigingen onafhankelijk en buiten de patchdagen snel worden gereleased.

verdroidnogaan2 9 mei 2017 14:16

Voor mensen die Norton AV hebben (die Security Essentials/Windows Defender 'overneemt' zodat je niet erbij kunt komen): ik heb net met Norton gechat en de Live Update patcht dit lek automatisch.

Donenzone 9 mei 2017 14:49

MsMpEng draait zonder sandboxing en is op afstand te benaderen zonder authenticatie via verschillende Windows-services zoals Exchange en IIS. ...met de naam Nscript, is een JavaScript-interpreter die Microsoft standaard bij elke Windows-versie gebruikt voor het evalueren van verdachte code.

Dus MS draait met SYSTEM rechten zonder sandbox een JavaScript-interpreter in Windows en heeft dat in een paar dagen opgelost? Ze hebben waarschijnlijk alleen deze toevallig ontdekte fout verholpen, maar zolang die JS interpreter niet in een sandbox draait, zullen er nog wel veel meer lekken ontstaan... Ik zou Defender nog even uitschakelen.

[Reactie gewijzigd door Donenzone op 22 juli 2024 15:04]

Aaargh! 9 mei 2017 11:16

Tja, wanneer beginnen mensen nu eens door te krijgen dat dit soort security/antivirus scanners meer kwaad doet dan goed. Het is niet de eerste keer dat er een enorm security probleem gevonden is in een AV pakket, en aangezien die allemaal met hele hoge privileges draaien (soms zelfs als kernel module) en alle content die je machine binnenkomt verwerkt is het ontzettend gevaarlijk om dat soort software te draaien.

Als je geen apps installeert vanaf dubieuze bronnen of vergelijkbare rare dingen uithaalt met je systeem ben je veel beter af zonder dit soort tools.

Verwijderd @Aaargh! • 9 mei 2017 11:42

Er wordt ook meuk afgeleverd via browser exploits/in ads (zie nu.nl fuckup)

Wat is daar dan je boodschap? Geen browsers meer gebruiken, alleen maar op het internet met cURL? Zolang je aan het internet verbonden bent, hoef je niet per se handmatig op malware.exe te klikken om aangevallen te worden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:04]

Aaargh! @Verwijderd • 9 mei 2017 12:08

Draait jouw browser met SYSTEM rechten ?

RoestVrijStaal @Aaargh! • 9 mei 2017 12:24

Voor ransomware zijn gebruikersrechten al voldoende om je vakantiefoto's e.d. te gegijzelen.

Aaargh! @RoestVrijStaal • 9 mei 2017 12:52

Dus omdat je user-data al gecompromitteerd kan worden via je browser is het ook een goed idee om je hele systeem bloot te stellen ?

Een exploit op dit niveau kan heel veel meer kwaad dan een exploit die alleen bij jouw user-account kan. Een rootkit installeren, om maar iets te noemen.

Verwijderd @Aaargh! • 9 mei 2017 13:07

Voor de doorsnee-gebruiker is wat er binnen het userprofiel te halen valt, al genoeg. Op een standaard-desktop zit alles van waarde in mijn user profile. Ik heb liever dat iemand mijn Windows-installatie om zeep helpt, dan een file encrypter op mijn user profile loslaat, of browserprofielen, documenten en wachtwoorden tracht te farmen.

Aaargh! @Verwijderd • 9 mei 2017 13:12

Dat is nu net het punt, via dit soort exploits kan je ALLES. Iemand kan meekijken met alles wat je doet, b.v. online bankieren, en jij hoeft niets door te hebben.

Verwijderd @Aaargh! • 9 mei 2017 13:16

Het hele argument is dus dat je daar met de rechten van de gebruiker al ver mee kunt komen. Jij beargumenteerde dat je SYSTEM moet hebben, terwijl dat voor veel acties geen fuck uitmaakt. Ik kan een geheel browser-profiel uit de Chrome-map trekken en transplanteren naar een andere PC. Opgeslagen sessies/wachtwoorden/geschiedenis en de hele bende gaat gewoon mee. Op veel PCs is de enige gebruiker al een admin.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:04]

Aaargh! @Verwijderd • 9 mei 2017 13:49

Ik snap niet wat je nu probeert duidelijk te maken. Omdat je met gebruikersrechten al veel kan is het niet erg om de deur dan meteen maar wagenwijd open te zetten ?

Overigens is het bij het probleem waar dit nieuwsitem over gaat zo dat de gebruiker hier NIETS voor hoeft te doen. Bij de exploits waar jij het over hebt moet de gebruiker eerst naar een dubieuze site of op een vaag mailtje klikken. Deze exploit is te misbruiken zonder enige gebruikers interactie. Je hoeft niets te openen, niets aan te klikken, en er zijn enorm veel manier om hier misbruik van te maken. Dit is een VEEL serieuzer probleem dan waar jij het over hebt.

Verwijderd @Aaargh! • 9 mei 2017 14:10

Ik snap niet wat je nu probeert duidelijk te maken.

Om dat balletje maar even terug te kaatsen; Wat probeer jij te zeggen wanneer je een vet hippe oneliner dropt?

Draait jouw browser met SYSTEM rechten ?

Mijn opvolgende argumenten gingen over het feit dat je feitelijk met grote woorden slingert, maar niets zegt. Je hebt geen SYSTEM-account nodig om je hele computer onder de duim te houden, en dat menig thuis-PC al ingelogt is met een Admin-account, die al genoeg toegang heeft om de boel te verzieken.

Bij de exploits waar jij het over hebt moet de gebruiker eerst naar een dubieuze site of op een vaag mailtje klikken. Deze exploit is te misbruiken zonder enige gebruikers interactie.

"Dubieuze sites"

http://www.nu.nl/internet...are-via-advertenties.html

Alright sure. O.a. Marktplaats, Nu.nl, RTL. Superdubieus en helemaal niet populaire sites.

supersnathan94 @Verwijderd • 9 mei 2017 13:24

Wachtwoorden farmen gaat natuurlijk een stuk makkelijker als je volledige OS al gecompromitteerd is.

RoestVrijStaal @Aaargh! • 9 mei 2017 16:00

Nee, maar ik wil erop wijzen dat je vast houdt aan een verouderde manier van denken over de veiligheid van het gebruikersrechtensysteem.

Met root en system kan je idd leukere dingen doen, maar kwaadwillend programatuur draaiend in userland heeft al genoeg rechten om kwaad te doen.

Brousant @Aaargh! • 9 mei 2017 11:36

Als je geen apps installeert vanaf dubieuze bronnen of vergelijkbare rare dingen uithaalt met je systeem ben je veel beter af zonder dit soort tools.

Ja, dan wel. En ik ga ervan uit dat ik dat ook niet doe.

Maar ik heb al phishingmails langs zien komen waar ik zelf haast in zou trappen, en als ik me ooit daadwerkelijk heb laten misleiden heb ik daar geen weet van...

Op dit item kan niet meer gereageerd worden.

Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender

Lees meer

Reacties (106)

Sorteer op:

Weergave: