Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2974294

Sicherheitsanfälligkeiten im Microsoft-Modul zum Schutz vor schädlicher Software kann Denial-of-Service ermöglichen

Veröffentlicht: 17. Juni 2014

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft veröffentlicht diese Sicherheitsempfehlung, um Benutzer darüber zu informieren, dass ein Update für das Microsoft-Modul zum Schutz vor schädlicher Software eine Sicherheitsanfälligkeit behebt, die Microsoft gemeldet wurde. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn das Microsoft-Modul zum Schutz vor schädlicher Software eine speziell gestaltete Datei scannt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann verhindern, dass das Microsoft-Modul zum Schutz vor schädlicher Software betroffene Systeme überwacht, bis die speziell gestaltete Datei manuell entfernt und der Dienst neu gestartet wird.

Das Microsoft-Modul zum Schutz vor schädlicher Software ist im Lieferumfang mehrerer Antimalware-Produkte von Microsoft enthalten. Eine von betroffenen Produkten finden Sie im Abschnitt Betroffene Software. Updates für das Microsoft-Modul zum Schutz vor schädlicher Software werden zusammen mit den aktualisierten Malwaredefinitionen für die betroffenen Produkte installiert. Administratoren von Unternehmensinstallationen sollten ihren etablierten internen Prozessen folgen, um sicherzustellen, dass die Definitions- und Modulupdates in ihrer Updateverwaltungssoftware genehmigt werden und dass die Clients die Updates dementsprechend nutzen.

In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um Updates für das Microsoft-Modul zum Schutz vor schädlicher Software zu installieren. Das Update wird aufgrund des integrierten Mechanismus für die automatische Erkennung und Bereitstellung von Updates innerhalb von 48 Stunden nach Veröffentlichung installiert. Der genaue Zeitrahmen ist abhängig von der verwendeten Software, der Internetverbindung und der Infrastrukturkonfiguration.

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise

Identifizierung

CVE-Referenz

CVE-2014-2779

Microsoft Knowledge Base-Artikel

2974294

Letzte Version des Microsoft-Moduls zum Schutz vor schädlicher Software, die von dieser Sicherheitsanfälligkeit betroffen ist

Version 1.1.10600.0

Erste Version des Microsoft-Moduls zum Schutz vor schädlicher Software, bei der diese Sicherheitsanfälligkeit behoben ist

Version 1.1.10701.0*

*Wenn Ihre Version des Microsoft-Moduls zum Schutz vor schädlicher Software gleich dieser Version oder höher ist, sind Sie nicht von dieser Sicherheitsanfälligkeit betroffen und müssen keine weiteren Maßnahmen ergreifen. Weitere Informationen zum Überprüfen der Versionsnummer des Moduls, das derzeit von Ihrer Software verwendet wird, finden Sie im Microsoft Knowledge Base-Artikel 2510781 in dem Abschnitt „Überprüfen der Updateinstallation“.

Diese Empfehlung betrifft die folgende Software.

Betroffene Software

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software

Antimalware

Sicherheitsanfälligkeit bezüglich Denial-of-Service im Microsoft-Modul zum Schutz vor schädlicher Software – CVE-2014-2779

Microsoft Forefront Client Security

Hoch 
DoS (Denial of Service)

Microsoft Forefront Endpoint Protection 2010

Hoch 
DoS (Denial of Service)

Microsoft Forefront Security für SharePoint Service Pack 3

Hoch 
DoS (Denial of Service)

Microsoft System Center 2012 Endpoint Protection

Hoch 
DoS (Denial of Service)

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Hoch 
DoS (Denial of Service)

Microsoft-Tool zum Entfernen schädlicher Software[1]

Hoch 
DoS (Denial of Service)

Microsoft Security Essentials

Hoch 
DoS (Denial of Service)

Microsoft Security Essentials Vorabversion

Hoch 
DoS (Denial of Service)

Windows Defender für Windows 8, Windows 8.1 , Windows Server 2012 und Windows Server 2012 R2

Hoch 
DoS (Denial of Service)

Windows Defender für Windows RT und Windows RT 8.1

Hoch 
DoS (Denial of Service)

Windows Defender für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2

Hoch 
DoS (Denial of Service)

Windows Defender Offline

Hoch 
DoS (Denial of Service)

Windows Intune Endpoint Protection

Hoch 
DoS (Denial of Service)

[1]Gilt nur für die Version von Mai 2014 oder frühere Versionen des Microsoft-Tools zum Entfernen schädlicher Software.

Nicht betroffene Software

Antimalware

Führt Modul zum Schutz vor schädlicher Software nicht aus

Microsoft Forefront Server Security Management Console

Microsoft Internet Security and Acceleration (ISA) Server

In der folgenden Tabelle wird eine Bewertung der Ausnutzbarkeit der Sicherheitsanfälligkeiten bereitgestellt, die in dieser Empfehlung behoben werden.

Wie verwende ich diese Tabelle?

Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, dass innerhalb von 30 Tagen nach Veröffentlichung dieser Empfehlung funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration die unten stehende Bewertung ansehen, um Prioritäten für Ihre Bereitstellung festzulegen. Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie im Microsoft-Ausnutzbarkeitsindex.

Titel der Sicherheitsanfälligkeit

CVE-ID

Bewertung der Ausnutzbarkeit für aktuelle Softwareversionen

Bewertung der Ausnutzbarkeit für ältere Softwareversionen

Bewertung der Ausnutzbarkeit durch Denial-of-Service

Wichtige Hinweise

Sicherheitsanfälligkeit bezüglich Denial-of-Service im Microsoft-Modul zum Schutz vor schädlicher Software

CVE-2014-2779

3 – Angreifercode unwahrscheinlich

3 – Angreifercode unwahrscheinlich

Dauerhaft

Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff.

Die Ausnutzung dieser Sicherheitsanfälligkeit kann bewirken, dass das Betriebssystem oder eine Anwendung dauerhaft nicht mehr reagiert, bis es/sie manuell neu gestartet wird. Sie kann auch bewirken, dass eine Anwendung geschlossen oder unerwartet beendet und nicht automatisch wiederhergestellt wird.

Veröffentlicht Microsoft ein Security Bulletin, um diese Sicherheitsanfälligkeit zu beheben? 
Nein. Microsoft veröffentlicht diese informatorische Sicherheitsempfehlung, um Benutzer darüber zu informieren, dass ein Update für das Microsoft-Modul zum Schutz vor schädlicher Software eine Sicherheitsanfälligkeit behebt, die Microsoft gemeldet wurde.

In der Regel müssen Unternehmensadministratoren oder Endbenutzer keine Maßnahmen ergreifen, um dieses Update zu installieren.

Warum ist in der Regel keine Aktion erforderlich, um dieses Update zu installieren? 
In Reaktion auf eine sich ständig ändernde Bedrohungslage aktualisiert Microsoft oft Malwaredefinitionen und das Microsoft-Modul zum Schutz vor schädlicher Software. Damit die Antimalwaresoftware gegen neue und vorherrschende Bedrohungen schützt, muss sie mit diesen Updates zeitgerecht auf dem neuesten Stand gehalten werden.

Sowohl für Unternehmensbereitstellungen als auch für Endbenutzer stellt die Standardkonfiguration in Antimalwaresoftware von Microsoft sicher, dass die Malwaredefinitionen und das Microsoft-Modul zum Schutz vor schädlicher Software automatisch auf dem neuesten Stand gehalten werden. Die Produktdokumentation empfiehlt außerdem, dass für Produkte die automatische Aktualisierung konfiguriert wird.

In den empfohlenen Vorgehensweisen wird vorgeschlagen, dass Benutzer regelmäßig überprüfen, ob die Softwareverteilung wie die automatische Bereitstellung von Updates für Microsoft-Module zum Schutz vor schädlicher Software und Malwaredefinitionen wie erwartet in ihrer Umgebung funktionieren.

Wie oft werden das Microsoft-Modul zum Schutz vor schädlicher Software und die Malwaredefinitionen aktualisiert? 
Microsoft veröffentlicht in der Regel einmal pro Monat ein Update für das Microsoft-Modul zum Schutz vor schädlicher Software oder bei Bedarf als Schutz gegen neue Bedrohungen. Microsoft aktualisiert in der Regel auch die Malwaredefinitionen drei Mal täglich. Diese Frequenz kann bei Bedarf erhöht werden.

Je nachdem, welche Microsoft Antimalwaresoftware verwendet wird und wie diese konfiguriert ist, sucht die Software jeden Tag nach Updates für das Modul und die Definitionen, wenn eine Verbindung mit dem Internet besteht; auch mehrmals täglich. Benutzer können auch auswählen, jederzeit manuell auf Updates zu prüfen.

Wie kann ich dieses Update installieren? 
Informationen zum Installieren dieses Updates finden Sie in dem Abschnitt Empfohlene Maßnahmen.

Was ist das Microsoft-Modul zum Schutz vor schädlicher Software? 
Das Microsoft-Modul zum Schutz vor schädlicher Software, mpengine.dll, stellt Scan-, Erkennungs- und Bereinigungsmöglichkeiten für Antivirus- und Antispywareclients von Microsoft bereit.

Wo finde ich weitere Informationen zur Technologie der Microsoft Antimalware? 
Weitere Informationen finden Sie auf der Website Microsoft-Center zum Schutz vor Malware.

Worin genau besteht diese Sicherheitsanfälligkeit? 
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff.

Was ist die Ursache dieser Sicherheitsanfälligkeit? 
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass das Microsoft-Modul zum Schutz vor schädlicher Software eine speziell gestaltete Datei nicht richtig scannt, was zur Zeitüberschreitung beim Scannen führt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann verhindern, dass das Microsoft-Modul zum Schutz vor schädlicher Software betroffene Systeme überwacht, bis die speziell gestaltete Datei manuell entfernt und der Dienst neu gestartet wird.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen? 
Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss eine speziell gestaltete Datei von einer betroffenen Version des Microsoft-Moduls zum Schutz vor schädlicher Software gescannt werden. Es gibt viele Möglichkeiten für einen Angreifer, eine speziell gestaltete Datei an einem Speicherort abzulegen, der vom Microsoft-Modul zum Schutz vor schädlicher Software gescannt wird. Beispielsweise kann ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei in das System des Opfers einzuschleusen, die gescannt wird, wenn die Website vom Benutzer angezeigt wird. Ein Angreifer kann eine speziell gestaltete Datei auch über eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht weitergeben, die gescannt wird, wenn die Datei geöffnet wird. Außerdem kann ein Angreifer Websites nutzen, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten. Dabei kann er dann eine speziell gestaltete Datei auf einen freigegebenen Speicherort hochladen, der von dem Modul zum Schutz vor schädlicher Software auf dem Hostserver gescannt wird.

Wenn in der betroffenen Antimalware der Echtzeitschutz aktiviert ist, werden Dateien automatisch vom Microsoft-Modul zum Schutz vor schädlicher Software gescannt. Das kann zur Ausnutzung der Sicherheitsanfälligkeit führen, wenn die speziell gestaltete Datei gescannt wird. Wenn Echtzeitscannen nicht aktiviert ist, muss der Angreifer warten, bis ein geplanter Scan beginnt, damit er die Sicherheitsanfälligkeit ausnutzen kann.

Außerdem kann die Ausnutzung der Sicherheitsanfälligkeit auftreten, wenn das System mit einer betroffenen Version des Tools zum Entfernen schädlicher Software (MSRT) gescannt wird.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar? 
Alle Systeme, auf denen eine betroffene Version der Antimalware ausgeführt wird, sind hauptsächlich gefährdet.

Was bewirkt das Update? 
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie das Microsoft-Modul zum Schutz vor schädlicher Software speziell gestaltete Dateien scannt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung bereits öffentlich bekannt? 
Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde? 
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieser Sicherheitsempfehlung keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

  • Überprüfen, ob das Update installiert ist

    Benutzer sollten überprüfen, ob die aktuelle Version des Microsoft-Moduls zum Schutz vor schädlicher Software und die Definitionsupdates aktiv heruntergeladen und für ihre Microsoft Antimalware-Produkte installiert werden.

    Weitere Informationen zum Überprüfen der Versionsnummer des Microsoft-Moduls zum Schutz vor schädlicher Software, das derzeit von Ihrer Software verwendet wird, finden Sie im Microsoft Knowledge Base-Artikel 2510781 in dem Abschnitt „Überprüfen der Updateinstallation“.

    Überprüfen Sie bei betroffener Software, ob die Version des Microsoft-Moduls zum Schutz vor schädlicher Software 1.1.10701.0 oder höher ist.

  • Installieren Sie gegebenenfalls das Update.

    Administratoren von Bereitstellungen von Antimalwaresoftware für Unternehmen sollten sicherstellen, dass ihre Updateverwaltungssoftware darauf konfiguriert ist, die Modulupdates und neue Malwaredefinitionen automatisch zu genehmigen und zu verteilen. Unternehmensadministratoren sollten auch überprüfen, ob die aktuelle Version des Microsoft-Moduls zum Schutz vor schädlicher Software und die Definitionsupdates aktiv heruntergeladen, genehmigt und in ihrer Umgebung bereitgestellt werden.

    Für Endbenutzer stellt die betroffene Software integrierte Mechanismen für die automatische Erkennung und Bereitstellung dieses Updates bereit. Für diese Benutzer wird das Update innerhalb von 48 Stunden nach seiner Verfügbarkeit installiert. Der genaue Zeitrahmen ist abhängig von der verwendeten Software, der Internetverbindung und der Infrastrukturkonfiguration. Endbenutzer, die nicht warten möchten, können ihre Antimalwaresoftware manuell aktualisieren.

    Weitere Informationen zum manuellen Aktualisieren des Microsoft-Moduls zum Schutz vor schädlicher Software und die Malwaredefinitionen finden Sie im Microsoft Knowledge Base-Artikel 2510781.

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Tavis Ormandy vom Google Project Zero für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit bezüglich Denial-of-Service im Microsoft-Modul zum Schutz vor schädlicher Software (CVE-2014-2779).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (17. Juni 2014): Die Empfehlung wurde veröffentlicht.

Seite generiert am 17.06.2014 um 12:01Z-07:00.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft