Avviso di sicurezza
Microsoft Security Advisory 2846338
La vulnerabilità nel motore di protezione malware Microsoft potrebbe consentire l'esecuzione di codice remoto
Pubblicato: 14 maggio 2013
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft sta rilasciando questo avviso di sicurezza per garantire che i clienti siano consapevoli che un aggiornamento al motore di protezione malware Microsoft risolve anche una vulnerabilità di sicurezza segnalata a Microsoft. L'aggiornamento risolve una vulnerabilità che potrebbe consentire l'esecuzione di codice remoto se microsoft Malware Protection Engine analizza un file appositamente creato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem e assumere il controllo completo del sistema.
Questa vulnerabilità è stata divulgata pubblicamente come Denial of Service.
Microsoft Malware Protection Engine fa parte di diversi prodotti antimalware Microsoft. Per un elenco dei prodotti interessati, vedere la sezione Software interessato. Aggiornamenti al motore di protezione malware Microsoft vengono installati insieme alle definizioni di malware aggiornate per i prodotti interessati. Amministrazione istrator di installazioni aziendali devono seguire i processi interni stabiliti per garantire che la definizione e gli aggiornamenti del motore siano approvati nel software di gestione degli aggiornamenti e che i client utilizzano di conseguenza gli aggiornamenti.
In genere, non è necessaria alcuna azione da parte degli amministratori aziendali o degli utenti finali per installare gli aggiornamenti per il motore di Protezione malware Microsoft, perché il meccanismo predefinito per il rilevamento automatico e la distribuzione degli aggiornamenti applicherà l'aggiornamento entro le prossime 48 ore. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura.
Fattori di mitigazione:
- Sono interessate solo le versioni basate su x64 del motore di protezione malware.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Riferimento CVE | CVE-2013-1346 |
| Ultima versione del motore di protezione malware Microsoft interessata da questa vulnerabilità | Versione 1.1.9402.0 |
| Prima versione del motore di protezione malware Microsoft con questa vulnerabilità risolta | Versione 1.1.9506.0* |
*Se la versione del motore di protezione malware Microsoft è uguale o maggiore di questa versione, non si è interessati da questa vulnerabilità e non è necessario eseguire ulteriori azioni. Per altre informazioni su come verificare il numero di versione del motore in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Software interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, visitare supporto tecnico Microsoft Ciclo di vita.
Microsoft Malware Protection Engine fa parte di diversi prodotti antimalware Microsoft. A seconda del prodotto antimalware Microsoft interessato, questo aggiornamento potrebbe avere classificazioni di gravità diverse. Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità.
Software interessato
| Antimalware Software | Vulnerabilità del motore di protezione malware Microsoft - CVE-2013-1346 |
|---|---|
| Microsoft Forefront Client Security (x64) | Importante \ Esecuzione di codice remoto |
| Microsoft Forefront Endpoint Protection 2010 (x64) | Importante \ Esecuzione di codice remoto |
| Microsoft Forefront Security per SharePoint Service Pack 3 (x64) | Importante \ Esecuzione di codice remoto |
| Microsoft System Center 2012 Endpoint Protection (x64) | Importante \ Esecuzione di codice remoto |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) | Importante \ Esecuzione di codice remoto |
| Strumento di rimozione di software dannoso Microsoft (x64)[1] | Importante \ Esecuzione di codice remoto |
| Microsoft Security Essentials (x64) | Importante \ Esecuzione di codice remoto |
| Versione preliminare di Microsoft Security Essentials (x64) | Importante \ Esecuzione di codice remoto |
| Windows Defender per Windows 8 (x64) | Importante \ Esecuzione di codice remoto |
| Windows Defender per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x64) | Importante \ Esecuzione di codice remoto |
| Windows Defender Offline (x64) | Importante \ Esecuzione di codice remoto |
| Windows Intune Endpoint Protection (x64) | Importante \ Esecuzione di codice remoto |
[1]Si applica solo ad aprile 2013 o versioni precedenti dello strumento di rimozione di software dannoso Microsoft.
Software non interessato
| Antimalware Software |
|---|
| Non esegue il motore di protezione malware |
| Microsoft Forefront Server Security Management Console |
| Microsoft Internet Security and Acceleration (ISA) Server |
| Non esegue una versione vulnerabile del motore di protezione malware |
| Microsoft Antigen per Exchange |
| Microsoft Antigen per il gateway SMTP |
| Microsoft System Center 2012 Endpoint Protection per Linux |
| Microsoft System Center 2012 Endpoint Protection per Mac |
| Microsoft Forefront Protection 2010 per Exchange Server |
| Microsoft Forefront Security per Exchange Server Service Pack 2 |
| Microsoft Forefront Security per Office Communications Server |
| Microsoft Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Client Security (x86) |
| Microsoft Forefront Endpoint Protection 2010 (x86) |
| Microsoft Forefront Security per SharePoint Service Pack 3 (x86) |
| Strumento di rimozione di software dannoso Microsoft (x86) |
| Microsoft Security Essentials (x86) |
| Versione preliminare di Microsoft Security Essentials (x86) |
| Microsoft System Center 2012 Endpoint Protection (x86) |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86) |
| Microsoft System Center 2012 Endpoint Protection per Mac Service Pack 1 |
| Windows Defender per Windows 8 (x86) |
| Windows Defender per Windows RT |
| Windows Defender per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x86) |
| Windows Defender Offline (x86) |
| Windows Intune Endpoint Protection (x86) |
Indice di sfruttabilità
Nella tabella seguente viene fornita una valutazione dell'sfruttabilità della vulnerabilità risolta in questo avviso.
Ricerca per categorie usare questa tabella?
Usare questa tabella per informazioni sulla probabilità di rilascio del codice exploit funzionante entro 30 giorni da questa versione di avviso. È consigliabile esaminare la valutazione seguente, in base alla configurazione specifica, al fine di classificare in ordine di priorità la distribuzione. Per altre informazioni sul significato di queste classificazioni e su come vengono determinate, vedere Microsoft Exploitability Index.For more information about what these ratings mean, and how they are determined, please see Microsoft Exploitability Index.
| Titolo della vulnerabilità | CVE ID | Valutazione dell'exploitbilità per la versione più recente del software | Valutazione dell'exploitbilità per la versione precedente del software | Valutazione denial of service exploitability | Note chiave |
|---|---|---|---|---|---|
| Vulnerabilità del motore di protezione malware Microsoft | CVE-2013-1346 | 2 - Il codice di exploit sarebbe difficile da compilare | 2 - Il codice di exploit sarebbe difficile da compilare | Temporanea | Sono interessate solo le versioni x64 del motore di protezione malware.\ \ Questa vulnerabilità è stata divulgata pubblicamente come denial of service. |
Domande frequenti sugli avvisi
Microsoft rilascia un bollettino sulla sicurezza per risolvere questa vulnerabilità?
No. Microsoft sta rilasciando questo avviso di sicurezza informativo per garantire che i clienti siano consapevoli che questo aggiornamento del motore di protezione malware Microsoft risolve anche una vulnerabilità di sicurezza segnalata a Microsoft.
In genere, non è necessaria alcuna azione da parte degli amministratori dell'organizzazione o degli utenti finali per installare questo aggiornamento.
Perché in genere non è necessaria alcuna azione per installare questo aggiornamento?
In risposta a un panorama delle minacce in continua evoluzione, Microsoft aggiorna frequentemente le definizioni di malware e microsoft Malware Protection Engine. Per essere efficaci per proteggere da minacce nuove e prevalenti, il software antimalware deve essere aggiornato con questi aggiornamenti in modo tempestivo.
Per le distribuzioni aziendali e gli utenti finali, la configurazione predefinita nel software antimalware Microsoft consente di garantire che le definizioni di malware e il motore di protezione malware Microsoft vengano mantenute aggiornate automaticamente. La documentazione del prodotto consiglia anche che i prodotti siano configurati per l'aggiornamento automatico.
Le procedure consigliate consigliano ai clienti di verificare regolarmente se la distribuzione software, ad esempio la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni di malware, funziona come previsto nel proprio ambiente.
Con quale frequenza vengono aggiornate le definizioni di malware e del motore di protezione malware Microsoft?
Microsoft rilascia in genere un aggiornamento per microsoft Malware Protection Engine una volta al mese o in base alle esigenze per proteggersi da nuove minacce. Microsoft aggiorna anche le definizioni di malware tre volte al giorno e può aumentare la frequenza quando necessario.
A seconda del software antimalware Microsoft usato e di come è configurato, il software può cercare aggiornamenti del motore e delle definizioni ogni giorno quando si è connessi a Internet, fino a più volte al giorno. I clienti possono anche scegliere di controllare manualmente la disponibilità di aggiornamenti in qualsiasi momento.
Come è possibile installare l'aggiornamento?
Per informazioni dettagliate su come installare questo aggiornamento, vedere la sezione Azioni suggerite.
Che cos'è il motore di protezione malware Microsoft?
Microsoft Malware Protection Engine, mpengine.dll, fornisce le funzionalità di analisi, rilevamento e pulizia per il software antivirus Microsoft e antispyware. Per altre informazioni, vedere la sezione Distribuzione del motore di protezione malware Microsoft, più avanti in questo avviso.
Dove è possibile trovare altre informazioni sulla tecnologia antimalware Microsoft?
Per altre informazioni, visitare il sito Web di Microsoft Malware Protection Center .
Domande frequenti sulla vulnerabilità del motore di protezione malware Microsoft - CVE-2013-1346
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di esecuzione remota del codice.
Che cosa causa la vulnerabilità?
La vulnerabilità è causata quando microsoft Malware Protection Engine non analizza correttamente un file appositamente creato che causa il danneggiamento della memoria.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem e assumere il controllo completo del sistema. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Che cos'è l'account LocalSystem?
L'account LocalSystem è un account locale predefinito usato dal gestore di controllo del servizio. Dispone di privilegi estesi sul computer locale e funge da computer in rete. Il token include i SID NT AUTHORITY\SYSTEM e BUILTIN\Amministrazione istrators; questi account hanno accesso alla maggior parte degli oggetti di sistema. Un servizio eseguito nel contesto dell'account LocalSystem eredita il contesto di sicurezza di Service Control Manager. La maggior parte dei servizi non necessita di un livello di privilegio così elevato. Per altre informazioni, vedere l'articolo MSDN LocalSystem Account.For more information, see the MSDN article, LocalSystem Account.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Per sfruttare questa vulnerabilità, è necessario analizzare un file appositamente creato da una versione interessata del motore di protezione malware Microsoft. Esistono molti modi in cui un utente malintenzionato potrebbe inserire un file appositamente creato in una posizione analizzata dal motore di protezione malware Microsoft. Ad esempio, un utente malintenzionato potrebbe usare un sito Web per distribuire un file appositamente creato nel sistema della vittima che viene analizzato quando il sito Web viene visualizzato dall'utente. Un utente malintenzionato potrebbe anche recapitare un file appositamente creato tramite un messaggio di posta elettronica o in un messaggio di Instant Messenger analizzato quando il file viene aperto. Inoltre, un utente malintenzionato potrebbe sfruttare i vantaggi dei siti Web che accettano o ospitano contenuti forniti dall'utente, per caricare un file appositamente creato in un percorso condiviso analizzato dal motore di protezione malware in esecuzione nel server di hosting.
Se il software antimalware interessato ha attivato la protezione in tempo reale, il motore di protezione malware Microsoft analizzerà automaticamente i file, causando lo sfruttamento della vulnerabilità quando il file appositamente creato scansionato. Se l'analisi in tempo reale non è abilitata, l'utente malintenzionato dovrà attendere fino a quando non si verifica un'analisi pianificata affinché la vulnerabilità venga sfruttata.
Inoltre, lo sfruttamento della vulnerabilità può verificarsi quando il sistema viene analizzato usando una versione interessata dello strumento di rimozione software dannoso (MSRT).
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
I sistemi che eseguono una versione a 64 bit interessata del software antimalware sono principalmente a rischio.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui microsoft Malware Protection Engine analizza i file appositamente creati.
Quando è stato rilasciato questo avviso di sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
Sì. Questa vulnerabilità è stata divulgata pubblicamente come Denial of Service. È stata assegnata la vulnerabilità comune e l'esposizione CVE-2013-1346.
Quando è stato rilasciato questo avviso di sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo avviso di sicurezza è stato originariamente rilasciato.
Azioni suggerite
Verificare che l'aggiornamento sia installato
I clienti devono verificare che la versione più recente del motore di protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati e installati attivamente per i prodotti Microsoft antimalware.
Per altre informazioni su come verificare il numero di versione per il motore di Protezione malware Microsoft attualmente in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Per il software interessato, verificare che la versione del motore di protezione malware Microsoft sia 1.1.9506.0 o successiva.
Se necessario, installare l'aggiornamento
Amministrazione istrator di distribuzioni antimalware aziendali devono assicurarsi che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e le nuove definizioni di malware. Gli amministratori aziendali devono anche verificare che la versione più recente del motore di Protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati, approvati e distribuiti attivamente nel proprio ambiente.
Per gli utenti finali, il software interessato fornisce meccanismi predefiniti per il rilevamento automatico e la distribuzione di questo aggiornamento. Per questi clienti, l'aggiornamento verrà applicato entro 48 ore dalla disponibilità. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software antimalware.
Per altre informazioni su come aggiornare manualmente le definizioni di Malware Protection Engine e malware, vedere l'articolo della Microsoft Knowledge Base 2510781.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Graeme Gill of Argyll CMS per collaborare con Microsoft sulla vulnerabilità del motore di protezione malware Microsoft (CVE-2013-1346)
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- Soluzioni di sicurezza per professionisti IT: Risoluzione dei problemi e supporto per la sicurezza techNet
- Proteggere il computer che esegue Windows da virus e malware: Soluzione virus e Centro sicurezza
- Supporto locale in base al proprio paese: Supporto internazionale
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 maggio 2013): Avviso pubblicato.
Costruito al 2014-04-18T13:49:36Z-07:00