Microsoft Security Advisory 2974294
Sicherheitsanfälligkeit in microsoft Malware Protection Engine könnte Denial of Service zulassen
Veröffentlicht: 17. Juni 2014
Version: 1.0
Allgemeine Informationen
Kurzfassung
Microsoft veröffentlicht diese Sicherheitsempfehlung, um Kunden darüber zu informieren, dass ein Update für das Microsoft Malware Protection Engine eine Sicherheitslücke behebt, die an Microsoft gemeldet wurde. Die Sicherheitsanfälligkeit könnte denial-of-Service zulassen, wenn das Microsoft Malware Protection Engine eine speziell gestaltete Datei durchsucht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte verhindern, dass das Microsoft Malware Protection Engine betroffene Systeme überwacht, bis die speziell gestaltete Datei manuell entfernt und der Dienst neu gestartet wird.
Das Microsoft Malware Protection Engine wird mit mehreren Microsoft-Antischadsoftwareprodukten ausgeliefert. Eine Liste der betroffenen Produkte finden Sie im Abschnitt "Betroffene Software ". Updates für das Microsoft Malware Protection Engine werden zusammen mit den aktualisierten Schadsoftwaredefinitionen für die betroffenen Produkte installiert. Administratoren von Unternehmensinstallationen sollten ihren etablierten internen Prozessen folgen, um sicherzustellen, dass die Definitions- und Modulupdates in ihrer Updateverwaltungssoftware genehmigt werden und dass Clients die Updates entsprechend nutzen.
In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um Updates für das Microsoft Malware Protection-Modul zu installieren, da der integrierte Mechanismus für die automatische Erkennung und Bereitstellung von Updates innerhalb von 48 Stunden nach der Veröffentlichung das Update anwenden wird. Der genaue Zeitrahmen hängt von der verwendeten Software-, Internetverbindungs- und Infrastrukturkonfiguration ab.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Identifikation |
|---|---|
| CVE-Referenz | CVE-2014-2779 |
| Letzte Version des Microsoft Malware Protection Engine, die von dieser Sicherheitsanfälligkeit betroffen ist | Version 1.1.10600.0 |
| First version of the Microsoft Malware Protection Engine with this vulnerability addressed | Version 1.1.10701.0* |
*Wenn Ihre Version des Microsoft Malware Protection Engine gleich oder größer als diese Version ist, sind Sie von dieser Sicherheitsanfälligkeit nicht betroffen und müssen keine weiteren Maßnahmen ergreifen. Weitere Informationen zum Überprüfen der Modulversionsnummer, die Ihre Software derzeit verwendet, finden Sie im Abschnitt "Überprüfen der Updateinstallation" im Microsoft Knowledge Base-Artikel 2510781.
Betroffene Software
In dieser Empfehlung wird die folgende Software erläutert.
Betroffene Software
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |
|---|---|
| Antischadsoftware | Sicherheitsanfälligkeit im Microsoft Malware-Schutzmodul – CVE-2014-2779 |
| Microsoft Forefront Client Security | WichtigerDenial of Service |
| Microsoft Forefront Endpoint Protection 2010 | WichtigerDenial of Service |
| Microsoft Forefront Security für SharePoint Service Pack 3 | WichtigerDenial of Service |
| Microsoft System Center 2012 Endpoint Protection | WichtigerDenial of Service |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 | WichtigerDenial of Service |
| Microsoft-Tool zum Entfernen bösartiger Software[1] | WichtigerDenial of Service |
| Microsoft Security Essentials | WichtigerDenial of Service |
| Microsoft Security Essentials Prerelease | WichtigerDenial of Service |
| Windows Defender für Windows 8, Windows 8.1, Windows Server 2012 und Windows Server 2012 R2 | WichtigerDenial of Service |
| Windows Defender für Windows RT und Windows RT 8.1 | WichtigerDenial of Service |
| Windows Defender für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 | WichtigerDenial of Service |
| Windows Defender Offline | WichtigerDenial of Service |
| Windows Intune Endpoint Protection | WichtigerDenial of Service |
[1]Gilt nur für Mai 2014 oder frühere Versionen des Microsoft-Tools zum Entfernen bösartiger Software.
Nicht betroffene Software
| Antischadsoftware |
|---|
| Schadsoftwareschutzmodul wird nicht ausgeführt |
| Microsoft Forefront Server Security Management Console |
| Microsoft Internet Security and Acceleration (ISA)-Server |
Exploitability Index
Die folgende Tabelle enthält eine Ausnutzbarkeitsbewertung der in dieser Empfehlung behandelten Sicherheitsanfälligkeit.
Gewusst wie diese Tabelle verwenden?
In dieser Tabelle erfahren Sie mehr über die Wahrscheinlichkeit, dass Exploit-Code innerhalb von 30 Tagen nach dieser Empfehlungsversion veröffentlicht wird. Sie sollten die nachstehende Bewertung gemäß Ihrer spezifischen Konfiguration überprüfen, um Ihre Bereitstellung zu priorisieren. Weitere Informationen dazu, was diese Bewertungen bedeuten und wie sie ermittelt werden, finden Sie unter Microsoft Exploitability Index.
| Titel der Sicherheitsanfälligkeit | CVE-ID | Exploitability Assessment for Latest Software Release | Exploitability Assessment for Older Software Release | Denial of Service Exploitability Assessment | Wichtige Notizen |
|---|---|---|---|---|---|
| Denial-of-Service-Sicherheitsanfälligkeit im Microsoft Malware Protection-Modul | CVE-2014-2779 | 3 – Exploit-Code unwahrscheinlich | 3 – Exploit-Code unwahrscheinlich | Dauerhaft | Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit.\ Die Nutzung dieser Sicherheitsanfälligkeit kann dazu führen, dass das Betriebssystem oder eine Anwendung dauerhaft nicht mehr reagiert, bis sie manuell neu gestartet wird. Es kann auch dazu führen, dass eine Anwendung unerwartet geschlossen oder beendet wird, ohne automatisch wiederherzustellen. |
Häufig gestellte Fragen zu Beratungen
Veröffentlicht Microsoft ein Sicherheitsbulletin, um diese Sicherheitsanfälligkeit zu beheben?
Nein Microsoft veröffentlicht diese Informationssicherheitsempfehlung, um Kunden darüber zu informieren, dass ein Update auf das Microsoft Malware Protection Engine eine Sicherheitslücke behandelt, die an Microsoft gemeldet wurde.
In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um dieses Update zu installieren.
Warum ist in der Regel keine Aktion erforderlich, um dieses Update zu installieren?
Als Reaktion auf eine sich ständig ändernde Bedrohungslandschaft aktualisiert Microsoft häufig Schadsoftwaredefinitionen und das Microsoft Malware Protection Engine. Um effektiv zum Schutz vor neuen und weit verbreiteten Bedrohungen zu beitragen, müssen Antischadsoftware-Software rechtzeitig mit diesen Updates auf dem neuesten Stand gehalten werden.
Für Unternehmensbereitstellungen sowie Endbenutzer trägt die Standardkonfiguration in Microsoft-Antischadsoftware dazu bei, sicherzustellen, dass Schadsoftwaredefinitionen und das Microsoft Malware Protection-Modul automatisch auf dem neuesten Stand gehalten werden. In der Produktdokumentation wird außerdem empfohlen, dass Produkte für die automatische Aktualisierung konfiguriert sind.
Bewährte Methoden empfehlen Kunden regelmäßig zu überprüfen, ob die Softwareverteilung, z. B. die automatische Bereitstellung von Updates des Microsoft Malware Protection Engine- und Schadsoftwaredefinitionen, erwartungsgemäß in ihrer Umgebung funktioniert.
Wie oft werden die Microsoft Malware Protection Engine und Schadsoftwaredefinitionen aktualisiert?
Microsoft veröffentlicht in der Regel ein Update für das Microsoft Malware Protection Engine einmal pro Monat oder nach Bedarf, um vor neuen Bedrohungen zu schützen. Microsoft aktualisiert die Schadsoftwaredefinitionen in der Regel dreimal täglich und kann die Häufigkeit bei Bedarf erhöhen.
Je nachdem, welche Antischadsoftware von Microsoft verwendet wird und wie sie konfiguriert wird, kann die Software jeden Tag nach Modul- und Definitionsupdates suchen, wenn sie mit dem Internet verbunden sind, bis zu mehreren Male täglich. Kunden können auch jederzeit manuell nach Updates suchen.
Wie kann ich das Update installieren?
Ausführliche Informationen zum Installieren dieses Updates finden Sie im Abschnitt " Vorgeschlagene Aktionen".
Was ist das Microsoft Malware Protection Engine?
Das Microsoft Malware Protection Engine, mpengine.dll, bietet die Scan-, Erkennungs- und sauber funktionen für Microsoft Antivirus- und Antispyware-Software.
Wo finde ich weitere Informationen zur Microsoft-Antischadsoftwaretechnologie?
Weitere Informationen finden Sie auf der Microsoft Center zum Schutz vor Malware-Website.
Häufig gestellte Fragen zur Sicherheitsanfälligkeit im Microsoft Malware Protection-Modul – CVE-2014-2779
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn das Microsoft Malware Protection Engine keine speziell gestaltete Datei überprüft, was zu einem Scantimeout führt.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte verhindern, dass das Microsoft Malware Protection Engine betroffene Systeme überwacht, bis die speziell gestaltete Datei manuell entfernt und der Dienst neu gestartet wird.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss eine speziell gestaltete Datei von einer betroffenen Version des Microsoft Malware Protection Engine gescannt werden. Es gibt viele Möglichkeiten, wie ein Angreifer eine speziell gestaltete Datei an einem Speicherort platzieren kann, der vom Microsoft Malware Protection Engine gescannt wird. Beispielsweise könnte ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei an das System des Opfers zu übermitteln, das gescannt wird, wenn die Website vom Benutzer angezeigt wird. Ein Angreifer könnte auch eine speziell gestaltete Datei über eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht übermitteln, die beim Öffnen der Datei gescannt wird. Darüber hinaus könnte ein Angreifer Websites nutzen, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, um eine speziell gestaltete Datei an einen freigegebenen Speicherort hochzuladen, der von dem auf dem Hostingserver ausgeführten Malware Protection Engine gescannt wird.
Wenn die betroffene Antischadsoftware den Echtzeitschutz aktiviert hat, überprüft das Microsoft Malware Protection Engine Dateien automatisch, was zu einer Ausbeutung der Sicherheitsanfälligkeit führt, wenn die speziell gestaltete Datei gescannt wird. Wenn die Überprüfung in Echtzeit nicht aktiviert ist, muss der Angreifer warten, bis eine geplante Überprüfung stattfindet, damit die Sicherheitsanfälligkeit ausgenutzt wird.
Darüber hinaus kann die Nutzung der Sicherheitsanfälligkeit auftreten, wenn das System mit einer betroffenen Version des Tools zum Entfernen bösartiger Software (MSRT) gescannt wird.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Alle Systeme, auf denen eine betroffene Version von Antischadsoftware ausgeführt wird, sind in erster Linie gefährdet.
Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie das Microsoft Malware Protection Engine speziell gestaltete Dateien überprüft.
Als diese Sicherheitsempfehlung ausgestellt wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Als diese Sicherheitsempfehlung ausgestellt wurde, erhielt Microsoft berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als diese Sicherheitsempfehlung ursprünglich ausgestellt wurde.
Vorgeschlagene Aktionen
Überprüfen, ob das Update installiert ist
Kunden sollten überprüfen, ob die neueste Version des Microsoft Malware Protection Engine und Definitionsupdates aktiv heruntergeladen und für ihre Microsoft-Antischadsoftwareprodukte installiert werden.
Weitere Informationen zum Überprüfen der Versionsnummer für das Microsoft Malware Protection Engine, das Ihre Software derzeit verwendet, finden Sie im Abschnitt "Überprüfen der Updateinstallation" im Microsoft Knowledge Base-Artikel 2510781.
Überprüfen Sie für betroffene Software, ob die Version des Microsoft Malware Protection Engine 1.1.10701.0 oder höher ist.
Installieren Sie bei Bedarf das Update.
Administratoren von Antischadsoftwarebereitstellungen für Unternehmen sollten sicherstellen, dass ihre Updateverwaltungssoftware so konfiguriert ist, dass Modulupdates und neue Schadsoftwaredefinitionen automatisch genehmigt und verteilt werden. Unternehmensadministratoren sollten auch überprüfen, ob die neueste Version des Microsoft Malware Protection Engine und Definitionsupdates aktiv heruntergeladen, genehmigt und in ihrer Umgebung bereitgestellt werden.
Für Endbenutzer bieten die betroffene Software integrierte Mechanismen für die automatische Erkennung und Bereitstellung dieses Updates. Für diese Kunden wird das Update innerhalb von 48 Stunden nach seiner Verfügbarkeit angewendet. Der genaue Zeitrahmen hängt von der verwendeten Software-, Internetverbindungs- und Infrastrukturkonfiguration ab. Endbenutzer, die nicht warten möchten, können ihre Antischadsoftware manuell aktualisieren.
Weitere Informationen zum manuellen Aktualisieren der Microsoft Malware Protection Engine und Schadsoftwaredefinitionen finden Sie im Microsoft Knowledge Base-Artikel 2510781.
Danksagungen
Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:
- Tavis Ormandy von Google Project Zero für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit in microsoft Malware Protection Engine (CVE-2014-2779)
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (17. Juni 2014): Empfehlung veröffentlicht.
Seite generiert 2014-07-07 10:25Z-07:00.