Советы по безопасности

Советы по безопасности Майкрософт 2846338

Уязвимость в модуль защиты от вредоносных программ (Майкрософт) может разрешить удаленное выполнение кода

Опубликовано: 14 мая 2013 г.

Версия: 1.0

Общие сведения

Краткий обзор

Корпорация Майкрософт выпускает эти рекомендации по безопасности, чтобы помочь клиентам знать, что обновление до модуль защиты от вредоносных программ (Майкрософт) также устраняет уязвимость безопасности, сообщаемую корпорации Майкрософт. Обновление устраняет уязвимость, которая может разрешить удаленное выполнение кода, если модуль защиты от вредоносных программ (Майкрософт) сканирует специально созданный файл. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код в контексте безопасности учетной записи LocalSystem и полностью контролировать систему.

Эта уязвимость была публично раскрыта как отказ в обслуживании.

Модуль защиты от вредоносных программ (Майкрософт) является частью нескольких продуктов защиты от вредоносных программ Майкрософт. Список затронутых продуктов см. в разделе "Затронутое программное обеспечение ". Обновления модуль защиты от вредоносных программ (Майкрософт) устанавливаются вместе с обновленными определениями вредоносных программ для затронутых продуктов. Администратор истаторы корпоративных установок должны следовать установленным внутренним процессам, чтобы гарантировать, что обновления определений и обработчиков утверждены в программном обеспечении управления обновлениями, и что клиенты используют обновления соответствующим образом.

Как правило, никакие действия не требуются для корпоративных администраторов или конечных пользователей для установки обновлений для модуль защиты от вредоносных программ (Майкрософт), так как встроенный механизм автоматического обнаружения и развертывания обновлений будет применять обновление в течение следующих 48 часов. Точный интервал времени зависит от используемого программного обеспечения, подключения к Интернету и конфигурации инфраструктуры.

Смягчающие факторы:

  • Затронуты только версии подсистемы защиты от вредоносных программ на основе x64.

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих ссылках:

Ссылки Идентификация
Справочник по CVE CVE-2013-1346
Последняя версия модуль защиты от вредоносных программ (Майкрософт), затронутых этой уязвимостью Версия 1.1.9402.0
Первая версия модуль защиты от вредоносных программ (Майкрософт) с этой уязвимостью, устраненной Версия 1.1.9506.0*

*Если ваша версия модуль защиты от вредоносных программ (Майкрософт) равна или больше этой версии, это не влияет на эту уязвимость и не требует дальнейших действий. Дополнительные сведения о том, как проверить номер версии подсистемы, который используется в настоящее время, см. в разделе "Проверка установки обновлений" в статье базы знаний Майкрософт 2510781.

Затронутого программного обеспечения

Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для вашей версии или выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.

Модуль защиты от вредоносных программ (Майкрософт) является частью нескольких продуктов защиты от вредоносных программ Майкрософт. В зависимости от того, какие затронутые антивредоносные продукты Майкрософт установлены, это обновление может иметь разные оценки серьезности. Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости.

Затронутого программного обеспечения

Антивредоносное программное обеспечение Уязвимость модуль защиты от вредоносных программ (Майкрософт) — CVE-2013-1346
Microsoft Forefront Client Security (x64) Важно \ Удаленное выполнение кода
Microsoft Forefront Endpoint Protection 2010 (x64) Важно \ Удаленное выполнение кода
Microsoft Forefront Security для SharePoint с пакетом обновления 3 (x64) Важно \ Удаленное выполнение кода
Microsoft System Center 2012 Endpoint Protection (x64) Важно \ Удаленное выполнение кода
Microsoft System Center 2012 Endpoint Protection с пакетом обновления 1 (x64) Важно \ Удаленное выполнение кода
Средство удаления вредоносных программ (x64)[1] Важно \ Удаленное выполнение кода
Microsoft Security Essentials (x64) Важно \ Удаленное выполнение кода
Предварительная версия Microsoft Security Essentials (x64) Важно \ Удаленное выполнение кода
Защитник Windows для Windows 8 (x64) Важно \ Удаленное выполнение кода
Защитник Windows для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 (x64) Важно \ Удаленное выполнение кода
Автономный защитник Windows (x64) Важно \ Удаленное выполнение кода
Windows Intune Endpoint Protection (x64) Важно \ Удаленное выполнение кода

[1]Применяется только к апрельу 2013 г. или более ранним версиям средства удаления вредоносных программ Майкрософт.

Не затронутое программное обеспечение

Антивредоносное программное обеспечение
Не запускает подсистему защиты от вредоносных программ
Microsoft Forefront Server Security Management Console
Сервер Microsoft Internet Security and Acceleration (ISA)
Не запускает уязвимую версию обработчика защиты от вредоносных программ
Microsoft Antigen для Exchange
Microsoft Antigen для SMTP-шлюза
Microsoft System Center 2012 Endpoint Protection для Linux
Microsoft System Center 2012 Endpoint Protection для Mac
Microsoft Forefront Protection 2010 для Exchange Server
Microsoft Forefront Security для Exchange Server с пакетом обновления 2
Microsoft Forefront Security for Office Communications Server
Microsoft Forefront Threat Management Gateway 2010
Microsoft Forefront Client Security (x86)
Microsoft Forefront Endpoint Protection 2010 (x86)
Microsoft Forefront Security для SharePoint с пакетом обновления 3 (x86)
Средство удаления вредоносных программ Майкрософт (x86)
Microsoft Security Essentials (x86)
Предварительная версия Microsoft Security Essentials (x86)
Microsoft System Center 2012 Endpoint Protection (x86)
Microsoft System Center 2012 Endpoint Protection с пакетом обновления 1 (x86)
Microsoft System Center 2012 Endpoint Protection для Mac с пакетом обновления 1 (SP1)
Защитник Windows для Windows 8 (x86)
Защитник Windows для Windows RT
Защитник Windows для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 (x86)
Автономный защитник Windows (x86)
Windows Intune Endpoint Protection (x86)

Индекс эксплойтации

В следующей таблице приведена оценка эксплойтируемости уязвимостей, рассмотренной в этом рекомендации.

Разделы справки использовать эту таблицу?

Используйте эту таблицу, чтобы узнать о вероятности выпуска кода эксплойтов в течение 30 дней после этого консультативного выпуска. Чтобы определить приоритет развертывания, необходимо просмотреть приведенную ниже оценку в соответствии с конкретной конфигурацией. Дополнительные сведения о том, что такое рейтинги означают и как они определяются, см . в индексе эксплойтации Майкрософт.

Заголовок уязвимости ИДЕНТИФИКАТОР CVE Оценка эксплойтируемости для последнего выпуска программного обеспечения Оценка эксплойтируемости для более старой версии программного обеспечения Оценка эксплойтируемости типа "отказ в обслуживании" Ключевые заметки
Уязвимость модуль защиты от вредоносных программ (Майкрософт) CVE-2013-1346 2 . Код эксплойтов будет сложно создать 2 . Код эксплойтов будет сложно создать Временные процедуры Затронуты только версии подсистемы защиты от вредоносных программ x64.\ Эта уязвимость была публично раскрыта как отказ в обслуживании.

Вопросы и ответы о рекомендациях

Выпустит ли корпорация Майкрософт бюллетень по безопасности для решения этой уязвимости?
№ Корпорация Майкрософт выпускает эти рекомендации по информационной безопасности, чтобы помочь клиентам знать, что это обновление модуль защиты от вредоносных программ (Майкрософт) также устраняет уязвимость безопасности, сообщаемую корпорации Майкрософт.

Как правило, для установки этого обновления не требуется никаких действий администраторов предприятия или конечных пользователей.

Почему обычно не требуется никаких действий для установки этого обновления?
В ответ на постоянно изменяющийся ландшафт угроз корпорация Майкрософт часто обновляет определения вредоносных программ и модуль защиты от вредоносных программ (Майкрософт). Чтобы обеспечить эффективную защиту от новых и распространенных угроз, программное обеспечение защиты от вредоносных программ должно своевременно обновляться с этими обновлениями.

Для корпоративных развертываний, а также конечных пользователей конфигурация по умолчанию в антивредоносном программном обеспечении Майкрософт помогает обеспечить автоматическое обновление определений вредоносных программ и модуль защиты от вредоносных программ (Майкрософт). Документация по продуктам также рекомендует настроить продукты для автоматического обновления.

Рекомендации рекомендуют клиентам регулярно проверять, работает ли распространение программного обеспечения, например автоматическое развертывание обновлений модуль защиты от вредоносных программ (Майкрософт) и определений вредоносных программ, в их среде.

Как часто обновляются определения модуль защиты от вредоносных программ (Майкрософт) и вредоносных программ?
Корпорация Майкрософт обычно выпускает обновление для модуль защиты от вредоносных программ (Майкрософт) один раз в месяц или по мере необходимости для защиты от новых угроз. Корпорация Майкрософт также обычно обновляет определения вредоносных программ три раза ежедневно и может увеличить частоту при необходимости.

В зависимости от того, какое программное обеспечение Майкрософт используется и как оно настроено, программное обеспечение может выполнять поиск обновлений системы и определений каждый день при подключении к Интернету до нескольких раз в день. Клиенты также могут вручную проверка обновлений в любое время.

Как установить обновление?
Дополнительные сведения об установке этого обновления см. в разделе " Предлагаемые действия".

Что такое модуль защиты от вредоносных программ (Майкрософт)?
Модуль защиты от вредоносных программ (Майкрософт), mpengine.dll, предоставляет возможности сканирования, обнаружения и очистки антивирусного и антишпиостерского программного обеспечения Майкрософт. Дополнительные сведения см. в разделе модуль защиты от вредоносных программ (Майкрософт) Развертывания далее в этом совете.

Где можно найти дополнительные сведения о технологии защиты от вредоносных программ Майкрософт?
Дополнительные сведения см. на веб-сайте Центр Майкрософт по защите от вредоносных программ.

Часто задаваемые вопросы об уязвимости модуль защиты от вредоносных программ (Майкрософт) — CVE-2013-1346

Что такое область уязвимости?
Это уязвимость удаленного выполнения кода.

Что вызывает уязвимость?
Уязвимость возникает, когда модуль защиты от вредоносных программ (Майкрософт) неправильно сканирует специально созданный файл, что приводит к повреждению памяти.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код в контексте безопасности учетной записи LocalSystem и полностью контролировать систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Что такое учетная запись LocalSystem?
Учетная запись LocalSystem — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет обширные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Его маркер включает идентификаторы SID NT AUTHORITY\SYSTEM и BUILDIN\Администратор istrators. Эти учетные записи имеют доступ к большинству системных объектов. Служба, которая выполняется в контексте учетной записи LocalSystem, наследует контекст безопасности диспетчера управления службами. Большинству служб не требуется такой высокий уровень привилегий. Дополнительные сведения см. в статье MSDN , Учетная запись LocalSystem.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы использовать эту уязвимость, специально созданный файл должен быть сканирован затронутым версией модуль защиты от вредоносных программ (Майкрософт). Существует множество способов, которым злоумышленник может поместить специально созданный файл в расположение, которое сканируется модуль защиты от вредоносных программ (Майкрософт). Например, злоумышленник может использовать веб-сайт для доставки специально созданного файла в систему жертвы, которая сканируется при просмотре веб-сайта пользователем. Злоумышленник также может доставлять специально созданный файл с помощью сообщения электронной почты или в сообщении мгновенного посланника, которое сканируется при открытии файла. Кроме того, злоумышленник может воспользоваться веб-сайтами, которые принимают или размещают содержимое, предоставленное пользователем, для отправки специально созданного файла в общее расположение, которое сканируется подсистемой защиты вредоносных программ, работающей на сервере размещения.

Если затронутая программа защиты от вредоносных программ включена в режиме реального времени, модуль защиты от вредоносных программ (Майкрософт) автоматически сканирует файлы, что приводит к эксплуатации уязвимости при сканировании специально созданного файла. Если сканирование в режиме реального времени не включено, злоумышленнику потребуется ждать, пока запланированная проверка не будет выполнена, чтобы уязвимость была использована.

Кроме того, эксплуатация уязвимости может возникать при сканировании системы с помощью затронутой версии средства удаления вредоносных программ (MSRT).

Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, на которых запущена 64-разрядная версия программного обеспечения для защиты от вредоносных программ, в основном подвержены риску.

Что делает обновление?
Обновление устраняет уязвимость, исправляя способ проверки модуль защиты от вредоносных программ (Майкрософт) специально созданных файлов.

Когда эта рекомендация по безопасности была выдана, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта как отказ в обслуживании. Она была назначена общей уязвимости и уязвимости CVE-2013-1346.

Когда эта рекомендация по безопасности была выдана, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске рекомендаций по обеспечению безопасности.

Предлагаемые действия

Проверка установки обновления

Клиенты должны убедиться, что последняя версия обновлений модуль защиты от вредоносных программ (Майкрософт) и определений активно скачиваются и устанавливаются для своих продуктов защиты от вредоносных программ Майкрософт.

Дополнительные сведения о том, как проверить номер версии для модуль защиты от вредоносных программ (Майкрософт) используемого в настоящее время программного обеспечения, см. в разделе "Проверка установки обновлений" в статье базы знаний Майкрософт 2510781.

Для затронутого программного обеспечения убедитесь, что модуль защиты от вредоносных программ (Майкрософт) версии 1.1.9506.0 или более поздней.

При необходимости установите обновление

Администратор istrator для развертываний корпоративных антивредоносных программ следует убедиться, что их программное обеспечение для управления обновлениями настроено для автоматического утверждения и распространения обновлений подсистемы и новых определений вредоносных программ. Администраторы предприятия также должны убедиться, что последняя версия обновлений модуль защиты от вредоносных программ (Майкрософт) и определений активно загружается, утверждается и развертывается в своей среде.

Для конечных пользователей затронутая программа предоставляет встроенные механизмы автоматического обнаружения и развертывания этого обновления. Для этих клиентов обновление будет применяться в течение 48 часов после его доступности. Точный интервал времени зависит от используемого программного обеспечения, подключения к Интернету и конфигурации инфраструктуры. Конечные пользователи, которые не хотят ждать, могут вручную обновить свое антивредоносное программное обеспечение.

Дополнительные сведения о том, как вручную обновить определения модуль защиты от вредоносных программ (Майкрософт) и вредоносных программ, см. в статье базы знаний Майкрософт 2510781.

Другие сведения

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Грэм Гилл из Argyll CMS для работы с нами по уязвимости модуль защиты от вредоносных программ (Майкрософт) (CVE-2013-1346)

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (14 мая 2013 г.): рекомендации, опубликованные.

Построено в 2014-04-18T13:49:36Z-07:00