Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 2491888
Ohrožení zabezpečení v modulu Microsoft Malware Protection Engine by mohlo umožnit zvýšení oprávnění
Publikováno: 23. února 2011 | Aktualizováno: 8. března 2011
Verze: 1.1
Obecné informace
Shrnutí
Společnost Microsoft vydává tento poradce pro zabezpečení, aby zákazníkům pomohla zajistit, že aktualizace modulu Microsoft Malware Protection Engine řeší také chybu zabezpečení nahlášenou Microsoftu. Tato aktualizace řeší soukromě hlášenou chybu zabezpečení, která by mohla umožnit zvýšení oprávnění, pokud modul Microsoft Malware Protection Engine prohledá systém poté, co útočník s platnými přihlašovacími údaji vytvořil speciálně vytvořený klíč registru. Útočník, který tuto chybu zabezpečení úspěšně zneužil, může získat stejná uživatelská práva jako účet LocalSystem. Ohrožení zabezpečení nebylo možné zneužít anonymními uživateli.
Vzhledem k tomu, že modul Microsoft Malware Protection Engine je součástí několika antimalwarových produktů Společnosti Microsoft, je aktualizace modulu Microsoft Malware Protection Engine nainstalována spolu s aktualizovanými definicemi malwaru pro ovlivněné produkty. Správa istrátory podnikových instalací by měly postupovat podle zavedených interních procesů, aby se zajistilo, že definice a aktualizace modulu budou schváleny v softwaru pro správu aktualizací a že klienti odpovídajícím způsobem aktualizace využívají.
K instalaci této aktualizace se obvykle nevyžaduje žádná akce podnikových správců nebo koncových uživatelů, protože integrovaný mechanismus automatického zjišťování a nasazení této aktualizace tuto aktualizaci nainstaluje během následujících 48 hodin. Přesný časový rámec závisí na použitém softwaru, připojení k internetu a konfiguraci infrastruktury.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Reference | Identifikace |
|---|---|
| CVE – referenční dokumentace | CVE-2011-0037 |
| Poslední verze modulu Microsoft Malware Protection Engine ovlivněného touto chybou zabezpečení | Verze 1.1.6502.0* |
| První verze modulu Microsoft Malware Protection Engine s tímto ohrožením zabezpečení | Verze 1.1.6603.0** |
*Tato verze je poslední verzí modulu Microsoft Malware Protection Engine, která je ovlivněna ohrožením zabezpečení.
**Pokud je vaše verze modulu Microsoft Malware Protection Engine rovna nebo vyšší než tato verze, nebudete touto chybou zabezpečení ovlivněni a nemusíte provádět žádné další akce. Další informace o tom, jak ověřit číslo verze modulu, který váš software aktuálně používá, naleznete v části "Ověření instalace aktualizace" v článku znalostní báze Microsoft Knowledge Base 2510781.
Hodnocení ovlivněných softwaru a závažnosti
Následující software byl testován k určení, které verze nebo edice jsou ovlivněny. Jiné verze nebo edice jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, navštivte podpora Microsoftu životní cyklus.
Microsoft Malware Protection Engine je součástí několika antimalwarových produktů Společnosti Microsoft. V závislosti na tom, který ovlivněný antimalwarový produkt společnosti Microsoft je nainstalován, může mít tato aktualizace různá hodnocení závažnosti. Následující hodnocení závažnosti předpokládají potenciální maximální dopad ohrožení zabezpečení.
Ovlivněný software
| Antimalwarový software | Ohrožení zabezpečení modulu Microsoft Malware Protection Engine – CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Důležité \ Zvýšení oprávnění |
| Microsoft Security Essentials | Důležité \ Zvýšení oprávnění |
| Microsoft Windows Defender | Důležité \ Zvýšení oprávnění |
| Microsoft Forefront Client Security | Důležité \ Zvýšení oprávnění |
| Microsoft Forefront Endpoint Protection 2010 | Důležité \ Zvýšení oprávnění |
| Nástroj pro odebrání škodlivého softwaru společnosti Microsoft[1] | Důležité \ Zvýšení oprávnění |
[1]Platí pouze pro únor 2011 nebo starší verze nástroje pro odebrání škodlivého softwaru společnosti Microsoft.
Software, který není ovlivněný
| Antimalwarový software |
|---|
| Microsoft Antigen for Exchange |
| Microsoft Antigen pro bránu SMTP |
| Zabezpečení Forefront pro Exchange Server |
| Forefront Protection 2010 pro Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security pro SharePoint |
| Zabezpečení Forefront pro Office Communications Server |
| Microsoft Standalone System Sweeper (součást sady nástrojů Microsoft Diagnostics and Recovery Toolset) |
Index zneužitelnosti
Následující tabulka obsahuje posouzení zneužitelnosti ohrožení zabezpečení vyřešeného v tomto poradci.
Návody použít tuto tabulku?
V této tabulce se dozvíte o pravděpodobnosti uvolnění kódu zneužití do 30 dnů od vydání tohoto poradního vydání. Pokud chcete určit prioritu nasazení, měli byste si projít následující posouzení v souladu s vaší konkrétní konfigurací. Další informace o tom, co tato hodnocení znamenají a jak se určují, najdete v tématu Index zneužití společnosti Microsoft.
| Název ohrožení zabezpečení | CVE ID | Posouzení zneužitelnosti indexů | Klíčové poznámky |
|---|---|---|---|
| Ohrožení zabezpečení modulu Microsoft Malware Protection Engine | CVE-2011-0037 | 1 . Konzistentní kód zneužití pravděpodobně | Toto je ohrožení zabezpečení spočívající ve zvýšení oprávnění. |
Nejčastější dotazy k tomuto poradci
Proč byl tento poradce revidován 8. března 2011?
Při prvním vydání tohoto poradce nebyla k dispozici aktualizovaná verze nástroje pro odebrání škodlivého softwaru (MSRT). Společnost Microsoft vydala aktualizovanou verzi nástroje MSRT v úterý 8. března 2011, která řeší ohrožení zabezpečení. Verze nástroje MSRT vydané dne nebo po tomto datu nejsou ovlivněny chybou zabezpečení popsanou v tomto poradci zabezpečení.
Proč nebyla při prvním vydání tohoto informačního zpravodaje zabezpečení k dispozici žádná aktualizace nástroje pro odebrání škodlivého softwaru (MSRT)?
Tuto chybu zabezpečení je možné zneužít pouze v únoru 2011 nebo starších verzích nástroje MSRT, když byla služba MSRT původně nabízena a stažena pomocí funkce Automatické Aktualizace. Společnost Microsoft vydala aktualizovanou verzi, která tento problém řeší v nástroji pro odebrání škodlivého softwaru v úterý 8. března 2011. Verze nástroje MSRT vydané dne nebo po tomto datu nejsou ohroženy problémem popsaným v tomto poradci zabezpečení.
Nástroj MSRT se spustí pouze jednou při stahování pomocí automatického Aktualizace. Útočník nemohl tuto chybu zabezpečení zneužít spuštěním ohrožené verze nástroje MSRT ručně.
Vydává Společnost Microsoft bulletin zabezpečení, který tuto chybu zabezpečení řeší?
Ne. Společnost Microsoft vydává tento informační poradce pro zabezpečení, aby zákazníkům pomohla zajistit, že tato aktualizace modulu ochrany proti malwaru společnosti Microsoft řeší také chybu zabezpečení nahlášenou microsoftu.
K instalaci této aktualizace se obvykle nevyžaduje žádná akce podnikových správců ani koncových uživatelů.
Proč se obvykle k instalaci této aktualizace nevyžaduje žádná akce?
V reakci na neustále se měnící prostředí hrozeb společnost Microsoft často aktualizuje definice malwaru a modul Microsoft Malware Protection Engine. Aby bylo možné efektivně chránit před novými a rozšířenými hrozbami, musí být antimalwarový software včas aktuální s těmito aktualizacemi.
U podnikových nasazení i koncových uživatelů je výchozí konfigurace antimalwarového softwaru Společnosti Microsoft pomáhá zajistit, aby definice malwaru a modul Microsoft Malware Protection Engine byly automaticky aktuální. Dokumentace k produktu také doporučuje, aby byly produkty nakonfigurované pro automatickou aktualizaci.
Osvědčené postupy doporučují, aby zákazníci pravidelně ověřovali, jestli distribuce softwaru, jako je automatické nasazení aktualizací modulu Microsoft Malware Protection Engine a definic malwaru, ve svém prostředí funguje podle očekávání.
Jak často se aktualizují definice malwaru a modulu Microsoft Malware Protection Engine?
Společnost Microsoft obvykle vydává aktualizaci modulu Microsoft Malware Protection Engine jednou za měsíc nebo podle potřeby k ochraně před novými hrozbami. Microsoft také obvykle třikrát denně aktualizuje definice malwaru a v případě potřeby může frekvenci zvýšit.
V závislosti na tom, který antimalwarový software společnosti Microsoft se používá a jak je nakonfigurovaný, může software každý den hledat aktualizace stroje a definic, až do vícekrát denně. Zákazníci se také můžou kdykoli rozhodnout, že budou aktualizace vyhledávat ručně.
Jak můžu nainstalovat aktualizaci?
Správa istrátory podnikových instalací by měly postupovat podle zavedených interních procesů, aby se zajistilo, že definice a aktualizace modulu budou schváleny v softwaru pro správu aktualizací a že klienti odpovídajícím způsobem aktualizace využívají.
Další informace o instalaci nejnovějších definic najdete v Centrum společnosti Microsoft pro ochranu před škodlivým softwarem nebo v dokumentaci k produktu.
Pro koncové uživatele není nutná žádná další akce, protože tato aktualizace zabezpečení bude stažena a nainstalována automaticky prostřednictvím automatické aktualizace nebo prostřednictvím jejich antimalwarového softwaru. Informace o tom, jak nakonfigurovat antimalwarový software, najdete v dokumentaci k produktu.
Koncoví uživatelé, kteří chtějí tuto aktualizaci nainstalovat ručně, najdete v následující tabulce.
Poznámka Aktualizace dostupná prostřednictvím služby Microsoft Update bude uvedena jako Důležitá. Vyhledejte odpovídající aktualizaci softwaru s názvem podobným jako v příkladu uvedeném v závorkách () v tabulce níže.
| Software | Mechanismus aktualizace | Další metody aktualizace |
|---|---|---|
| Microsoft Security Essentials | Microsoft Update | Ruční stažení nejnovějších aktualizací definic pro Microsoft Security Essentials |
| Microsoft Windows Defender | Služba Windows Update | Instalace nejnovějších aktualizací definic v programu Windows Defender |
| Microsoft Forefront Client Security | Microsoft Update | Instalace nejnovějších aktualizací definic aplikace Microsoft Forefront Security |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update\ (příklad: "Aktualizace definic pro Microsoft Forefront Endpoint Protection 2010") | Instalace nejnovějších aktualizací definic aplikace Microsoft Forefront Security |
| Nástroj pro odebrání škodlivého softwaru od Microsoftu | Služba Windows Update | Nástroj pro odebrání škodlivého softwaru |
Poznámka: Další informace o nasazení této aktualizace pro konkrétní antimalwarové produkty společnosti Microsoft naleznete v článku znalostní báze Microsoft Knowledge Base 2510781.
Co je modul Microsoft Malware Protection Engine?
Modul Microsoft Malware Protection Engine, mpengine.dll, poskytuje možnosti skenování, detekce a čištění pro antivirový a antispywarový software společnosti Microsoft. Další informace najdete v části Nasazení modulu Microsoft Malware Protection Engine dále v tomto poradci.
Kde najdu další informace o antimalwarové technologii Microsoftu?
Další informace najdete na webu Centrum společnosti Microsoft pro ochranu před škodlivým softwarem.
Proč není server ISA uvedený v seznamu ovlivněných nebo neovlivněných softwaru?
Zatímco Microsoft Internet Security and Acceleration (ISA) Server je předchůdcem Forefront Threat Management Gateway 2010 (TMG), ISA Server neobsahuje modul Microsoft Malware Protection Engine, a proto se v tomto poradenství nepovažuje. Kontrola malwaru pomocí modulu Microsoft Malware Protection Engine byla poprvé představena ve ForefrontU TMG. Další informace o nových funkcích forefrontu TMG najdete na stránce Forefront Threat Management Gateway 2010, Co je nového.
Nejčastější dotazy k ohrožení zabezpečení modulu Microsoft Malware Protection Engine – CVE-2011-0037
Jaký je rozsah ohrožení zabezpečení?
Toto je ohrožení zabezpečení spočívající ve zvýšení oprávnění. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl v kontextu zabezpečení účtu LocalSystem spustit libovolný kód. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy.
Co způsobuje ohrožení zabezpečení?
Toto ohrožení zabezpečení je způsobeno tím, že se modulu Microsoft Malware Protection Engine nepodaří správně zpracovat klíč registru, který útočník nastavil na speciálně vytvořenou hodnotu.
Co může útočník použít k ohrožení zabezpečení?
Útočník, který tuto chybu zabezpečení úspěšně zneužil, může v kontextu zabezpečení účtu LocalSystem spustit libovolný kód a převzít úplnou kontrolu nad systémem. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy.
Co je účet LocalSystem?
Účet LocalSystem je předdefinovaný místní účet používaný správcem řízení služeb. Má rozsáhlá oprávnění na místním počítači a funguje jako počítač v síti. Jeho token zahrnuje IDENTIFIKÁTORy SID NT AUTHORITY\SYSTEM a BUILTIN\Správa istrators; tyto účty mají přístup k většině systémových objektů. Služba, která se spouští v kontextu účtu LocalSystem, dědí kontext zabezpečení správce řízení služeb. Většina služeb nepotřebuje takovou vysokou úroveň oprávnění. Další informace najdete v článku MSDN, účtu LocalSystem.
Jak by mohl útočník zneužít tuto chybu zabezpečení?
Toto ohrožení zabezpečení vyžaduje, aby speciálně vytvořené umístění registru bylo zkontrolováno ovlivněnou verzí modulu Microsoft Malware Protection Engine. Aby mohl útočník tuto chybu zabezpečení zneužít, musí se nejprve přihlásit k systému a pak nastavit klíč registru uživatele na speciálně vytvořenou hodnotu.
Pokud má ovlivněný antimalwarový software zapnutou ochranu v reálném čase, modul Microsoft Malware Protection Engine automaticky zkontroluje umístění, což povede ke zneužití ohrožení zabezpečení a umožní útočníkovi převzít úplnou kontrolu nad ovlivněným systémem. Pokud kontrola v reálném čase není povolená, útočník bude muset počkat, až dojde k plánované kontrole, aby se ohrožení zabezpečení zneužilo, a aby mohl převzít úplnou kontrolu nad ovlivněným systémem. Útočník nemohl tuto chybu zabezpečení zneužít ručním spuštěním kontroly.
Kromě toho může dojít ke zneužití chyby zabezpečení, když se systém zkontroluje pomocí ovlivněné verze nástroje pro odebrání škodlivého softwaru (MSRT). Pokud se ale aktuální verze nástroje MSRT už v systému spustila, útočník nemohl tuto chybu zabezpečení zneužít pomocí nástroje MSRT.
Jaké systémy jsou primárně ohroženy ohrožením zabezpečení?
Pracovní stanice a terminálové servery jsou primárně ohroženy. Servery můžou být ohrožené, pokud uživatelům, kteří nemají dostatečná oprávnění správce, se můžou přihlásit k serverům a spouštět programy. Osvědčené postupy však důrazně nedoporučuje povolit.
Co aktualizace dělá?
Tato aktualizace řeší ohrožení zabezpečení tím, že opraví způsob, jakým modul Microsoft Malware Protection Engine zpracovává hodnoty načtené z registru.
Když byl tento poradce pro zabezpečení vydán, byla tato chyba zabezpečení veřejně zpřístupněna?
Ne. Společnost Microsoft obdržela informace o této chybě zabezpečení prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení.
Když byl vydán tento poradce pro zabezpečení, přijal Microsoft nějaké zprávy o zneužití této chyby zabezpečení?
Ne. Společnost Microsoft nepřijala žádné informace, které by značily, že se tato chyba zabezpečení veřejně používala k útoku zákazníků, když byl původně vydán tento poradce pro zabezpečení.
Zmírnění faktorů a navrhovaných akcí
Faktory pro zmírnění rizika
Omezení rizik označuje nastavení, běžnou konfiguraci nebo obecný osvědčený postup existující ve výchozím stavu, který by mohl snížit závažnost tohoto problému. Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:
- Útočník musí mít platné přihlašovací údaje, aby mohl toto ohrožení zabezpečení zneužít. Ohrožení zabezpečení nebylo možné zneužít anonymními uživateli.
- Útočník by mohl tuto chybu zabezpečení zneužít v únoru 2011 nebo starších verzích nástroje pro odstranění škodlivého softwaru (MSRT), pouze pokud tato verze nástroje pro odstranění škodlivého softwaru ještě v systému neběžila. Při prvním vydání tohoto poradce pro většinu koncových uživatelů by už byla verze nástroje MSRT z února 2011 stažena a spuštěna automaticky prostřednictvím automatické aktualizace. Společnost Microsoft vydala aktualizovanou verzi, která tento problém řeší v nástroji pro odebrání škodlivého softwaru v úterý 8. března 2011. Verze nástroje MSRT vydané dne nebo po tomto datu nejsou ohroženy problémem popsaným v tomto poradci zabezpečení.
Navrhované akce
K instalaci této aktualizace se obvykle nevyžaduje žádná akce pro podnikové správce nebo koncové uživatele. Microsoft doporučuje, aby zákazníci měli neustále aktuální definice malwaru. Zákazníci by měli ověřit, že se aktivně stahují a instalují nejnovější verze modulu Microsoft Malware Protection Engine a aktualizací definic pro své antimalwarové produkty Společnosti Microsoft.
Správa istrátory podnikových antimalwarových nasazení by měly zajistit, aby byl jejich software pro správu aktualizací nakonfigurovaný tak, aby automaticky schvaloval a distribuoval aktualizace modulu a nové definice malwaru. Podnikoví správci by také měli ověřit, že se aktivně stahují, schvalují a nasazují nejnovější verze modulu Microsoft Malware Protection Engine a aktualizací definic.
Pro koncové uživatele poskytuje ovlivněný software integrované mechanismy pro automatické zjišťování a nasazení této aktualizace. Pro tyto zákazníky se aktualizace použije do 48 hodin od její dostupnosti. Přesný časový rámec závisí na použitém softwaru, připojení k internetu a konfiguraci infrastruktury. Koncoví uživatelé, kteří nechtějí čekat, mohou ručně aktualizovat svůj antimalwarový software.
Další informace o ruční aktualizaci modulu Microsoft Malware Protection Engine a definic malwaru naleznete v článku znalostní báze Microsoft Knowledge Base 2510781 nebo v části Nejčastější dotazy k tomuto poradci.
Další informace
Poděkování
Microsoft děkujeme , že s námi spolupracujete na ochraně zákazníků:
- Cesar Cerrudo of Argeniss for reporting the Microsoft Malware Protection Engine Vulnerability (CVE-2011-0037)
Program Microsoft Active Protections (MAPP)
Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partnerů.
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (23. února 2011): Poradce publikováno.
- V1.1 (8. března 2011): Revidované nejčastější dotazy k doporučení pro oznámení aktualizované verze nástroje MSRT a přidání Forefront Security for Exchange Server do seznamu softwaru, který není ovlivněn.
Postaveno v 2014-04-18T13:49:36Z-07:00