RCE i Microsoft Malware Protection Engine - CVE-2017-11937

En kritisk sårbarhet i Microsofts Malware Protection Engine möjliggör fjärrexekvering av kod med mycket hög behörighet som LocalSystem [1].

Vad har hänt?

Säkerhetshålet består i att Malware Protection Engine felaktigt skannar filer som konstruerats på ett speciellt sätt. En fjärrangripare som levererar en sådan fil kan få systemet att exekvera sin egen kod som LocalSystem vilket möjliggör total kontroll över datorn. Filen kan exempelvis levereras när en användare besöker en webbsida eller tar emot e-post, alternativt laddas upp till en webbsida som automatiskt skannas av Malware Protection Engine.

Påverkade produkter

Malware Protection Engine finns inbyggd i Windows Defender, Microsoft Security Essentials, Endpoint Protection, Forefront Endpoint Protection, Intune Endpoint Protection samt Exchange Server 2013 och 2016. Sårbara versioner 1.1.14306.0 eller tidigare.

Rekommenderad åtgärd

Det finns en uppdatering tillgänglig, Malware Protection Engine version 1.1.14405.2, som de flesta installationer får automatiskt installerad av systemet. Eftersom det är en kritisk sårbarhet bör man kontrollera att uppdateringen verkligen har installerats [2] annars ska man installera manuellt snarast möjligt [3].

Källor

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937
[2] https://support.microsoft.com/en-us/help/2510781/microsoft-malware-protection-engine-deployment-information
[3] https://support.microsoft.com/kb/2510781