Malware Protection Engine

Der Defekt steckt in der Microsoft Malware Protection Engine, also dem Scan-Modul, das die Virenschutzlösungen Microsoft Forefront und Microsoft Defender für die Erkennung von Schadsoftware nutzen. Beim Verarbeiten einer speziell präparierten Datei prüft die Engine diese nicht korrekt, wodurch es im Arbeitsspeicher zu einer Speicherbeschädigung kommt. Genau hierin liegt die Gefahr: Da das Schutzmodul Dateien oft automatisch beim Eintreffen scannt, genügt es, dem Opfer eine manipulierte Datei zuzuspielen – etwa als E-Mail-Anhang oder über eine Webseite. Ein Öffnen durch den Nutzer ist nicht nötig, der reine Scanvorgang löst den Fehler aus. Dadurch kann ein Angreifer aus der Ferne eigenen Code einschleusen und ausführen. Betroffen sind zahlreiche Windows-Client- und Server-Versionen sowie der Einsatz auf Microsoft Exchange Server. Besonders heikel ist, dass ausgerechnet die Schutzkomponente selbst zum Einfallstor wird.