Microsoft Malware Protection Engine Improper Restriction of Operations Vulnerability — The Microsoft Malware Protection Engine running on Microsoft Forefront and Microsoft Defender on Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016, Microsoft Exchange Server 2013 and 2016, does not properly scan a specially crafted file leading to memory corruption. aka "Microsoft Malware Protection Engine Remote Code Execution Vulnerability".
CVE-2017-8540 is a critical remote code execution vulnerability in the Microsoft Malware Protection Engine (MMPE) used by Microsoft Defender and Microsoft Forefront. A specially crafted file can trigger memory corruption when scanned, allowing an attacker to execute arbitrary code in the security context of the LocalSystem account. With a CVSS score of 9.0 and public exploits available, this vulnerability poses an immediate threat to any Windows system running Microsoft's built-in antivirus protection, including Exchange Server environments. The irony of this vulnerability is that the security engine itself becomes the attack vector, making exploitation trivially triggerable by simply sending a malicious file via email, web, or file share.
IMMEDIATE ACTIONS:
1. Verify Microsoft Malware Protection Engine is updated to version 1.1.13704.0 or later — the engine auto-updates but verify in environments with restricted internet access
2. Run: "MpCmdRun.exe -SignatureUpdate" on all endpoints to force engine update
3. Check current engine version via PowerShell: Get-MpComputerStatus | Select AMEngineVersion
PATCHING GUIDANCE:
1. Microsoft released automatic updates for MMPE — ensure Windows Update or WSUS is functioning correctly
2. For Exchange Server 2013/2016, verify the MMPE version used by Exchange transport scanning agents
3. For air-gapped or restricted networks, manually download and deploy the updated engine from Microsoft Security Intelligence
COMPENSATING CONTROLS:
1. If immediate patching is not possible, configure email gateways to quarantine suspicious file types before they reach Exchange
2. Implement network segmentation to limit lateral movement from compromised endpoints
3. Restrict inbound file types at perimeter firewalls and web proxies
4. Monitor for unusual process creation by MsMpEng.exe
DETECTION RULES:
1. Monitor for crashes or unusual behavior of MsMpEng.exe process
2. Alert on child processes spawned by MsMpEng.exe (Sysmon Event ID 1)
3. Monitor for memory corruption indicators in Windows Event Logs related to Windows Defender
4. Deploy YARA rules for known exploit payloads targeting MMPE
الإجراءات الفورية:
1. تحقق من تحديث محرك الحماية من البرامج الضارة إلى الإصدار 1.1.13704.0 أو أحدث — المحرك يتحدث تلقائياً لكن تحقق في البيئات ذات الوصول المحدود للإنترنت
2. قم بتشغيل: MpCmdRun.exe -SignatureUpdate على جميع الأجهزة لفرض التحديث
3. تحقق من إصدار المحرك الحالي عبر PowerShell: Get-MpComputerStatus | Select AMEngineVersion
إرشادات التصحيح:
1. أصدرت مايكروسوفت تحديثات تلقائية لمحرك MMPE — تأكد من عمل Windows Update أو WSUS بشكل صحيح
2. لخوادم Exchange Server 2013/2016، تحقق من إصدار MMPE المستخدم بواسطة وكلاء فحص النقل
3. للشبكات المعزولة أو المقيدة، قم بتنزيل ونشر المحرك المحدث يدوياً من Microsoft Security Intelligence
الضوابط التعويضية:
1. إذا لم يكن التصحيح الفوري ممكناً، قم بتكوين بوابات البريد الإلكتروني لعزل أنواع الملفات المشبوهة قبل وصولها إلى Exchange
2. طبق تجزئة الشبكة للحد من الحركة الجانبية من الأجهزة المخترقة
3. قيّد أنواع الملفات الواردة على جدران الحماية المحيطية وبروكسيات الويب
4. راقب إنشاء العمليات غير المعتادة بواسطة MsMpEng.exe
قواعد الكشف:
1. راقب أعطال أو سلوك غير عادي لعملية MsMpEng.exe
2. أنشئ تنبيهات للعمليات الفرعية التي يولدها MsMpEng.exe (Sysmon Event ID 1)
3. راقب مؤشرات تلف الذاكرة في سجلات أحداث Windows المتعلقة بـ Windows Defender
4. انشر قواعد YARA لحمولات الاستغلال المعروفة التي تستهدف MMPE