Consultoria de Segurança
Comunicado de Segurança da Microsoft 2846338
Vulnerabilidade no mecanismo de proteção contra malware da Microsoft pode permitir a execução remota de código
Publicado em: 14 de maio de 2013
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está lançando este comunicado de segurança para ajudar a garantir que os clientes estejam cientes de que uma atualização do Mecanismo de Proteção contra Malware da Microsoft também aborda uma vulnerabilidade de segurança relatada à Microsoft. A atualização elimina uma vulnerabilidade que pode permitir a execução remota de código se o Mecanismo de Proteção contra Malware da Microsoft verificar um arquivo especialmente criado. O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle total do sistema.
Esta vulnerabilidade foi divulgada publicamente como uma negação de serviço.
O Mecanismo de Proteção contra Malware da Microsoft faz parte de vários produtos antimalware da Microsoft. Consulte a seção Softwares afetados para obter uma lista de produtos afetados. As atualizações do Mecanismo de Proteção contra Malware da Microsoft são instaladas junto com as definições de malware atualizadas para os produtos afetados. Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações de definição e mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar atualizações para o Mecanismo de Proteção contra Malware da Microsoft, porque o mecanismo interno para a detecção automática e implantação de atualizações aplicará a atualização nas próximas 48 horas. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura.
Fatores atenuantes:
- Somente as versões baseadas em x64 do Mecanismo de Proteção contra Malware são afetadas.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2013-1346 |
| Última versão do Mecanismo de Proteção contra Malware da Microsoft afetada por esta vulnerabilidade | Versão 1.1.9402.0 |
| Primeira versão do Mecanismo de Proteção contra Malware da Microsoft com esta vulnerabilidade abordada | Versão 1.1.9506.0* |
*Se a sua versão do Mecanismo de Proteção contra Malware da Microsoft for igual ou maior que esta versão, você não será afetado por esta vulnerabilidade e não precisará tomar nenhuma ação adicional. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, visite Ciclo de Vida do Suporte da Microsoft.
O Mecanismo de Proteção contra Malware da Microsoft faz parte de vários produtos antimalware da Microsoft. Dependendo de qual produto antimalware da Microsoft afetado está instalado, esta atualização pode ter classificações de gravidade diferentes. As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade.
Softwares afetados
| Antimalware Software | Vulnerabilidade no mecanismo de proteção contra malware da Microsoft - CVE-2013-1346 |
|---|---|
| Microsoft Forefront Client Security (x64) | Importante \ Execução remota de código |
| Microsoft Forefront Endpoint Protection 2010 (x64) | Importante \ Execução remota de código |
| Microsoft Forefront Security para SharePoint Service Pack 3 (x64) | Importante \ Execução remota de código |
| Proteção de ponto de extremidade do Microsoft System Center 2012 (x64) | Importante \ Execução remota de código |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) | Importante \ Execução remota de código |
| Ferramenta de Remoção de Software Mal-Intencionado da Microsoft (x64)[1] | Importante \ Execução remota de código |
| Fundamentos de Segurança da Microsoft (x64) | Importante \ Execução remota de código |
| Pré-lançamento do Microsoft Security Essentials (x64) | Importante \ Execução remota de código |
| Windows Defender para Windows 8 (x64) | Importante \ Execução remota de código |
| Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x64) | Importante \ Execução remota de código |
| Windows Defender Offline (x64) | Importante \ Execução remota de código |
| Proteção de ponto de extremidade do Windows Intune (x64) | Importante \ Execução remota de código |
[1]Aplica-se somente a abril de 2013 ou versões anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.
Software não afetado
| Antimalware Software |
|---|
| Não executa o mecanismo de proteção contra malware |
| Microsoft Forefront Server Security Management Console |
| Servidor Microsoft Internet Security and Acceleration (ISA) |
| Não executa uma versão vulnerável do Mecanismo de Proteção contra Malware |
| Microsoft Antigen para Exchange |
| Microsoft Antigen para gateway SMTP |
| Microsoft System Center 2012 Endpoint Protection para Linux |
| Microsoft System Center 2012 Endpoint Protection para Mac |
| Proteção do Microsoft Forefront 2010 para Exchange Server |
| Microsoft Forefront Security para Exchange Server Service Pack 2 |
| Microsoft Forefront Security para Office Communications Server |
| Microsoft Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Client Security (x86) |
| Microsoft Forefront Endpoint Protection 2010 (x86) |
| Microsoft Forefront Security para SharePoint Service Pack 3 (x86) |
| Ferramenta de Remoção de Software Mal-Intencionado da Microsoft (x86) |
| Fundamentos de Segurança da Microsoft (x86) |
| Pré-lançamento do Microsoft Security Essentials (x86) |
| Proteção de ponto de extremidade do Microsoft System Center 2012 (x86) |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86) |
| Microsoft System Center 2012 Endpoint Protection para Mac Service Pack 1 |
| Windows Defender para Windows 8 (x86) |
| Windows Defender para Windows RT |
| Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x86) |
| Windows Defender Offline (x86) |
| Proteção de ponto de extremidade do Windows Intune (x86) |
Índice de Exploração
A tabela a seguir fornece uma avaliação da capacidade de exploração da vulnerabilidade abordada neste comunicado.
Como faço para usar esta tabela?
Use esta tabela para saber mais sobre a probabilidade de o código de exploração em funcionamento ser liberado dentro de 30 dias após esta versão do comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para priorizar sua implantação. Para obter mais informações sobre o que essas classificações significam e como elas são determinadas, consulte Índice de exploração da Microsoft.
| Título da vulnerabilidade | ID da CVE | Avaliação de exploração para a versão mais recente do software | Avaliação de exploração para versões mais antigas de software | Avaliação da Exploração de Negação de Serviço | Notas principais |
|---|---|---|---|---|---|
| Vulnerabilidade do mecanismo de proteção contra malware da Microsoft | CVE-2013-1346 | 2 - Código de exploração seria difícil de construir | 2 - Código de exploração seria difícil de construir | Temporário | Somente as versões x64 do Mecanismo de Proteção contra Malware são afetadas.\ \ Esta vulnerabilidade foi divulgada publicamente como uma negação de serviço. |
Perguntas frequentes sobre o Advisory
A Microsoft está lançando um Boletim de Segurança para resolver essa vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança informativo para ajudar a garantir que os clientes estejam cientes de que esta atualização do Mecanismo de Proteção contra Malware da Microsoft também elimina uma vulnerabilidade de segurança relatada à Microsoft.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.
Por que normalmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza com frequência as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado com essas atualizações em tempo hábil.
Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft sejam mantidos atualizados automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.
As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações do Mecanismo de Proteção contra Malware da Microsoft e definições de malware, está funcionando conforme o esperado em seu ambiente.
Com que frequência o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft normalmente lança uma atualização para o Mecanismo de Proteção contra Malware da Microsoft uma vez por mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também costuma atualizar as definições de malware três vezes ao dia e pode aumentar a frequência quando necessário.
Dependendo de qual software antimalware da Microsoft é usado e como ele é configurado, o software pode procurar atualizações de mecanismo e definição todos os dias quando conectado à Internet, até várias vezes ao dia. Os clientes também podem optar por verificar manualmente se há atualizações a qualquer momento.
Como posso instalar a atualização?
Consulte a seção Ações sugeridas para obter detalhes sobre como instalar essa atualização.
O que é o Mecanismo de Proteção contra Malware da Microsoft?
O Mecanismo de Proteção contra Malware da Microsoft, mpengine.dll, fornece os recursos de varredura, detecção e limpeza para o software antivírus e antispyware da Microsoft. Para obter mais informações, consulte a seção Implantação do mecanismo de proteção contra malware da Microsoft, mais adiante neste comunicado.
Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.
Perguntas frequentes sobre a vulnerabilidade no mecanismo de proteção contra malware da Microsoft - CVE-2013-1346
Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de execução remota de código.
O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o Mecanismo de Proteção contra Malware da Microsoft não verifica corretamente um arquivo especialmente criado, levando à corrupção de memória.
Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle total do sistema. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
O que é a conta LocalSystem?
A conta LocalSystem é uma conta local predefinida usada pelo gerenciador de controle de serviço. Ele tem amplos privilégios no computador local e atua como o computador na rede. Seu token inclui os SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators; Essas contas têm acesso à maioria dos objetos do sistema. Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do Gerenciador de Controle de Serviços. A maioria dos serviços não precisa de um nível de privilégio tão alto. Para obter mais informações, consulte o artigo do MSDN, LocalSystem Account.
Como um invasor pode explorar a vulnerabilidade?
Para explorar esta vulnerabilidade, um ficheiro especialmente concebido para o efeito tem de ser analisado por uma versão afectada do Mecanismo de Proteção contra Malware da Microsoft. Há muitas maneiras de um invasor colocar um arquivo especialmente criado em um local verificado pelo Mecanismo de Proteção contra Malware da Microsoft. Por exemplo, um invasor pode usar um site para entregar um arquivo especialmente criado ao sistema da vítima que é verificado quando o site é exibido pelo usuário. Um invasor também pode entregar um arquivo especialmente criado por meio de uma mensagem de email ou em uma mensagem do Instant Messenger que é verificada quando o arquivo é aberto. Além disso, um invasor pode aproveitar sites que aceitam ou hospedam conteúdo fornecido pelo usuário para carregar um arquivo especialmente criado em um local compartilhado que é verificado pelo Mecanismo de Proteção contra Malware em execução no servidor de hospedagem.
Se o software antimalware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará os arquivos automaticamente, levando à exploração da vulnerabilidade quando o arquivo especialmente criado for verificado. Se a verificação em tempo real não estiver habilitada, o invasor precisará aguardar até que uma verificação agendada ocorra para que a vulnerabilidade seja explorada.
Além disso, a exploração da vulnerabilidade pode ocorrer quando o sistema é verificado usando uma versão afetada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT).
Quais são os sistemas que mais correm risco com a vulnerabilidade?
Os sistemas que executam uma versão de 64 bits afetada do software antimalware são os que correm mais risco.
O que a atualização faz?
A atualização elimina a vulnerabilidade corrigindo a maneira como o Mecanismo de Proteção contra Malware da Microsoft verifica arquivos especialmente criados.
Quando este comunicado de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
Sim. Esta vulnerabilidade foi divulgada publicamente como uma negação de serviço. Ela recebeu a lista Common Vulnerability and Exposure CVE-2013-1346.
Quando este comunicado de segurança foi emitido, a Microsoft havia recebido algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não havia recebido nenhuma informação que indicasse que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este comunicado de segurança foi publicado originalmente.
Ações sugeridas
Verifique se a atualização está instalada
Os clientes devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.
Para obter mais informações sobre como verificar o número da versão do Mecanismo de Proteção contra Malware da Microsoft que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Para software afetado, verifique se a versão do Microsoft Malware Protection Engine é 1.1.9506.0 ou posterior.
Se necessário, instale a atualização
Os administradores de implantações de antimalware corporativo devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.
Para usuários finais, o software afetado fornece mecanismos internos para a detecção automática e a implantação dessa atualização. Para esses clientes, a atualização será aplicada em até 48 horas após sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.
Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware, consulte o Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Outras Informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Graeme Gill, da Argyll CMS, por trabalhar conosco na vulnerabilidade do mecanismo de proteção contra malware da Microsoft (CVE-2013-1346)
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Soluções de segurança para profissionais de TI: Suporte e solução de problemas de segurança do TechNet
- Ajude a proteger seu computador que está executando o Windows contra vírus e malware: Central de Segurança e Solução de Vírus
- Suporte local de acordo com o seu país: Suporte Internacional
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de maio de 2013): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00