Windows Defender remote code execution vulnerability – CVE-2017-0290-2

Windows Defender remote code execution vulnerability – CVE-2017-0290-2

DearBytesAlertsWindows Defender remote code execution vulnerability – CVE-2017-0290-2

Wat is er aan de hand?

Onderzoekers; Natalie Silvanovich en Tavis Ormandy van Google’s security team Google Project Zero’s hebben op dinsdag 8 mei 2017 een blog post gepubliceerd waarin een security kwetsbaarheid van Microsoft Defender wordt beschreven. Deze kwetsbaarheid maakt het mogelijk op afstand toegang te verkrijgen tot een systeem met een Microsoft Windows besturingssysteem. De kwetsbaarheid is uit te buiten via de Microsoft Malware Protection Engine deze interpreteert JavaScript onjuist waardoor het mogelijk is arbitraire code uit te voeren met SYSTEM rechten.

Onderstaand een lijst met de kwetsbare gerelateerd Microsoft anti-malware software producten die Microsoft zelf gepubliceerd heeft:

Antimalware SoftwareMicrosoft Malware Protection Engine Remote Code Execution Vulnerability– CVE-2017-0290
 Microsoft Forefront Endpoint Protection 2010 Critical
Remote Code Execution
 Microsoft Endpoint Protection Critical
Remote Code Execution
 Microsoft Forefront Security for SharePoint Service Pack 3 Critical
Remote Code Execution
 Microsoft System Center Endpoint Protection Critical
Remote Code Execution
 Microsoft Security Essentials Critical
Remote Code Execution
 Windows Defender for Windows 7 Critical
Remote Code Execution
 Windows Defender for Windows 8.1 Critical
Remote Code Execution
 Windows Defender for Windows RT 8.1Critical
Remote Code Execution
 Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 Critical
Remote Code Execution
 Windows Intune Endpoint Protection Critical
Remote Code Execution

Waarom is dit belangrijk?

Windows het besturingssysteem van Microsoft is een van de meest gebruikte besturingssystemen voor desktop computers. Windows Defender zit automatisch in Windows daardoor wordt het wereldwijd veel gebruikt door zowel bedrijven als particulieren. Alle systemen die gebruik maken van Windows Defender met een versie lager dan 1.1.10701.0 zijn kwetsbaar. De reden dat de kwetsbaar zo kritiek is, is dat er vele manieren mogelijk zijn waarop de kwetsbaarheid kan worden uitgebuit zonder enige vorm van gebruikersinteractie.  Met de kwetsbaarheid is het mogelijk om Windows Defender uit te buiten doormiddel van het laten analyseren van een JavaScript bestand, om zodanig arbitraire code te laten uitvoeren.  Als de arbitraire code uitgevoerd is dan is het mogelijk voor de aanvaller om  SYSTEM rechten te bemachtigen, die de aanvaller dan kan misbruiken om bijvoorbeeld controle over het systeem te verkrijgen en dus ook over de aanwezige data.

Op wie is dit van toepassing?

Alle systemen waarop een Microsoft Windows Operating System geïnstalleerd in combinatie met Microsoft anti-malware software producten (Zie lijst hierboven), die niet voorzien zijn van de laatste uitgebrachte update: Microsoft Malware Protection Engine versie: 1.1.10701.0 zijn kwetsbaar.

Wat kunt u doen?

Microsoft heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Updates zoals de nu beschikbaar gestelde update worden normaliter automatisch geïnstalleerd door de Malware Protection Engine. Het is aanbevollen om zelf te controlleren of de Microsoft Malware Protection Engine versie 1.1.10701.0 of hoger is. Zo niet dan is de aanbeveiling om zo snel mogelijk handmatig de Microsoft Malware Protection Enginete voorzien van een update (versie 1.1.10701.0 of hoger).

Wat doet DearBytes?

DearBytes heeft naar aanleiding van dit probleem deze Tech Alert uitgebracht.

Er is ook informatie te vinden op de blog van Microsoft en de bijbehoorende CVE.