Avis de sécurité
Conseils de sécurité Microsoft 2491888
La vulnérabilité dans le moteur de protection contre les programmes malveillants Microsoft pourrait autoriser l’élévation de privilèges
Publication : 23 février 2011 | Mise à jour : 08 mars 2011
Version : 1.1
Informations générales
Résumé
Microsoft publie cet avis de sécurité pour vous assurer que les clients sont conscients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft traite également d’une vulnérabilité de sécurité signalée à Microsoft. La mise à jour traite d’une vulnérabilité signalée en privé qui pourrait autoriser l’élévation de privilèges si le moteur de protection contre les programmes malveillants Microsoft analyse un système après qu’un attaquant disposant d’informations d’identification d’ouverture de session valides a créé une clé de Registre spécialement conçue. Un attaquant qui a réussi à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que le compte LocalSystem. La vulnérabilité n’a pas pu être exploitée par les utilisateurs anonymes.
Étant donné que le moteur de protection contre les programmes malveillants Microsoft fait partie de plusieurs produits anti-programmes malveillants Microsoft, la mise à jour du moteur de protection contre les programmes malveillants Microsoft est installée avec les définitions de programmes malveillants mises à jour pour les produits concernés. Administration istrateurs des installations d’entreprise doivent suivre leurs processus internes établis pour s’assurer que les mises à jour de définition et de moteur sont approuvées dans leur logiciel de gestion des mises à jour et que les clients consomment les mises à jour en conséquence.
En règle générale, aucune action n’est requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour, car le mécanisme intégré pour la détection et le déploiement automatiques de cette mise à jour applique la mise à jour dans les 48 heures suivantes. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Référence CVE | CVE-2011-0037 |
| Dernière version du moteur de protection contre les programmes malveillants Microsoft affecté par cette vulnérabilité | Version 1.1.6502.0* |
| Première version du moteur de protection contre les programmes malveillants Microsoft avec cette vulnérabilité traitée | Version 1.1.6603.0** |
*Cette version est la dernière version du moteur de protection contre les programmes malveillants Microsoft qui est affecté par la vulnérabilité.
**Si votre version du moteur de protection contre les programmes malveillants Microsoft est égale ou supérieure à cette version, vous n’êtes pas affecté par cette vulnérabilité et n’avez pas besoin de prendre d’autres mesures. Pour plus d’informations sur la vérification du numéro de version du moteur que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Évaluations des logiciels et des gravités affectés
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie du support pour votre version ou édition logicielle, visitez Support Microsoft cycle de vie.
Le moteur de protection contre les programmes malveillants Microsoft fait partie de plusieurs produits anti-programmes malveillants Microsoft. Selon le produit microsoft anti-programme malveillant affecté, cette mise à jour peut avoir des évaluations de gravité différentes. Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité.
Logiciel affecté
| Logiciel anti-programme malveillant | Vulnérabilité du moteur de protection contre les programmes malveillants Microsoft - CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Important \ Élévation de privilèges |
| Microsoft Security Essentials | Important \ Élévation de privilèges |
| Microsoft Windows Defender | Important \ Élévation de privilèges |
| Microsoft Forefront Client Security | Important \ Élévation de privilèges |
| Microsoft Forefront Endpoint Protection 2010 | Important \ Élévation de privilèges |
| Outil de suppression de logiciels malveillants Microsoft[1] | Important \ Élévation de privilèges |
[1]S’applique uniquement à février 2011 ou aux versions antérieures de l’outil de suppression de logiciels malveillants Microsoft.
Logiciels non affectés
| Logiciel anti-programme malveillant |
|---|
| Microsoft Antigen pour Exchange |
| Microsoft Antigen pour la passerelle SMTP |
| Forefront Security for Exchange Server |
| Forefront Protection 2010 for Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security pour SharePoint |
| Forefront Security for Office Communications Server |
| Microsoft Standalone System Sweeper (partie de l’ensemble d’outils de diagnostics et de récupération Microsoft) |
Index d’exploitabilité
Le tableau suivant fournit une évaluation de l’exploitabilité de la vulnérabilité traitée dans cet avis.
Comment faire utiliser ce tableau ?
Utilisez ce tableau pour en savoir plus sur la probabilité de fonctionnement du code d’exploitation publié dans les 30 jours suivant cette version de conseil. Vous devez passer en revue l’évaluation ci-dessous, conformément à votre configuration spécifique, afin de hiérarchiser votre déploiement. Pour plus d’informations sur ce que signifient ces évaluations et sur la façon dont elles sont déterminées, consultez Microsoft Exploitability Index.
| Titre de la vulnérabilité | ID CVE | Évaluation de l’index d’exploitabilité | Notes clés |
|---|---|---|---|
| Vulnérabilité du moteur de protection contre les programmes malveillants Microsoft | CVE-2011-0037 | 1 - Code d’exploitation cohérent probablement | Il s’agit d’une vulnérabilité d’élévation de privilèges |
Forum aux questions (FAQ) à propos de cet avis
Pourquoi cet avis a-t-il été révisé le 8 mars 2011 ?
Lorsque cet avis a été publié pour la première fois, une version mise à jour de l’outil de suppression de logiciels malveillants (MSRT) n’était pas disponible. Microsoft a publié une version mise à jour du MSRT le mardi 8 mars 2011 qui résout la vulnérabilité. Les versions de MSRT publiées le ou après cette date ne sont pas affectées par la vulnérabilité décrite dans cet avis de sécurité.
Pourquoi aucune mise à jour de l’outil de suppression de logiciels malveillants (MSRT) n’a-t-elle été disponible lorsque cet avis de sécurité a été publié pour la première fois ?
La vulnérabilité ne peut être exploitée qu’à partir de février 2011 ou des versions antérieures de MSRT lorsque le MSRT a été initialement proposé et téléchargé à l’aide de l’Mises à jour automatique. Microsoft a publié une version mise à jour pour résoudre le problème dans l’outil de suppression de logiciels malveillants le mardi 8 mars 2011. Les versions de MSRT publiées à cette date ou après cette date ne sont pas vulnérables au problème décrit dans cet avis de sécurité.
MSRT ne s’exécute qu’une seule fois lors du téléchargement à l’aide du Mises à jour automatique. Un attaquant n’a pas pu exploiter cette vulnérabilité en exécutant manuellement une version vulnérable du MSRT.
Microsoft publie-t-il un bulletin de sécurité pour résoudre cette vulnérabilité ?
Non. Microsoft publie cet avis de sécurité informationnel pour vous assurer que les clients sont conscients que cette mise à jour du moteur de protection contre les programmes malveillants Microsoft traite également d’une vulnérabilité de sécurité signalée à Microsoft.
En règle générale, aucune action n’est requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour.
Pourquoi n’est-il généralement pas nécessaire d’installer cette mise à jour ?
En réponse à un paysage des menaces en constante évolution, Microsoft met fréquemment à jour les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft. Afin d’être efficace pour vous protéger contre les menaces nouvelles et courantes, les logiciels anti-programmes malveillants doivent être mis à jour avec ces mises à jour en temps opportun.
Pour les déploiements d’entreprise ainsi que pour les utilisateurs finaux, la configuration par défaut dans les logiciels anti-programmes malveillants Microsoft permet de s’assurer que les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft sont tenus à jour automatiquement. La documentation produit recommande également que les produits soient configurés pour la mise à jour automatique.
Les meilleures pratiques recommandent aux clients de vérifier régulièrement si la distribution de logiciels, comme le déploiement automatique des mises à jour du moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, fonctionne comme prévu dans leur environnement.
À quelle fréquence le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants sont-ils mis à jour ?
Microsoft publie généralement une mise à jour pour le moteur de protection contre les programmes malveillants Microsoft une fois par mois ou si nécessaire pour vous protéger contre les nouvelles menaces. Microsoft met également à jour les définitions de programmes malveillants trois fois par jour et peut augmenter la fréquence si nécessaire.
Selon les logiciels anti-programmes malveillants Microsoft utilisés et leur configuration, le logiciel peut rechercher des mises à jour de moteur et de définition tous les jours lorsqu’ils sont connectés à Internet, jusqu’à plusieurs fois par jour. Les clients peuvent également choisir de case activée manuellement pour les mises à jour à tout moment.
Comment puis-je installer la mise à jour ?
Administration istrateurs des installations d’entreprise doivent suivre leurs processus internes établis pour s’assurer que les mises à jour de définition et de moteur sont approuvées dans leur logiciel de gestion des mises à jour et que les clients consomment les mises à jour en conséquence.
Pour plus d’informations sur l’installation des définitions les plus récentes, consultez le Centre de protection Microsoft contre les programmes malveillants ou reportez-vous à la documentation de votre produit.
Pour les utilisateurs finaux, aucune autre action n’est requise, car cette mise à jour de sécurité est téléchargée et installée automatiquement via la mise à jour automatique ou par le biais de leur logiciel anti-programme malveillant. Pour plus d’informations sur la configuration des logiciels anti-programmes malveillants, reportez-vous à la documentation de votre produit.
Pour les utilisateurs finaux qui souhaitent installer cette mise à jour manuellement, reportez-vous au tableau suivant.
Notez Mises à jour disponible via Microsoft Update sera répertorié comme important. Recherchez la mise à jour appropriée pour votre logiciel avec un nom similaire à l’exemple répertorié entre parenthèses () dans le tableau ci-dessous.
| Logiciel | Mécanisme de mise à jour | Autres méthodes de mise à jour |
|---|---|---|
| Microsoft Security Essentials | Microsoft Update | Comment télécharger manuellement les dernières mises à jour de définition pour Microsoft Security Essentials |
| Microsoft Windows Defender | Windows Update | Installer les dernières mises à jour de définition de Windows Defender |
| Microsoft Forefront Client Security | Microsoft Update | Installer les dernières mises à jour de définition de Microsoft Forefront Security |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update\ (exemple : « Mise à jour de définition pour Microsoft Forefront Endpoint Protection 2010 ») | Installer les dernières mises à jour de définition de Microsoft Forefront Security |
| Outil de suppression de logiciels malveillants Microsoft | Windows Update | Outil de suppression de logiciels malveillants |
Remarque Pour plus d’informations sur le déploiement de cette mise à jour pour des produits anti-programmes malveillants Microsoft spécifiques, reportez-vous à l’article de la Base de connaissances Microsoft 2510781.
Qu’est-ce que le moteur de protection contre les programmes malveillants Microsoft ?
Le moteur de protection contre les programmes malveillants Microsoft, mpengine.dll, fournit les fonctionnalités d’analyse, de détection et de propre des logiciels antivirus et anti-espions Microsoft. Pour plus d’informations, consultez la section Déploiement du moteur de protection contre les programmes malveillants Microsoft, plus loin dans cet avis.
Où puis-je trouver plus d’informations sur la technologie microsoft anti-programme malveillant ?
Pour plus d’informations, visitez le site web Centre de protection Microsoft contre les programmes malveillants.
Pourquoi ISA Server n’est-il pas répertorié dans la liste des logiciels affectés ou non affectés ?
Bien que Microsoft Internet Security and Acceleration (ISA) Server soit le prédécesseur de Forefront Threat Management Gateway 2010 (TMG), ISA Server ne contient pas le moteur de protection contre les programmes malveillants Microsoft et, par conséquent, n’est pas pris en compte dans cet avis. L’analyse des programmes malveillants à l’aide du moteur de protection contre les programmes malveillants Microsoft a été introduite pour la première fois dans Forefront TMG. Pour plus d’informations sur les nouvelles fonctionnalités de Forefront TMG, consultez la page Forefront Threat Management Gateway 2010, Nouveautés.
FAQ sur la vulnérabilité du moteur de protection contre les programmes malveillants Microsoft - CVE-2011-0037
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que le moteur de protection contre les programmes malveillants Microsoft ne parvient pas à traiter correctement une clé de Registre qu’un attaquant a défini sur une valeur spécialement conçue.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle complet du système. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Qu’est-ce que le compte LocalSystem ?
Le compte LocalSystem est un compte local prédéfini utilisé par le gestionnaire de contrôle de service. Il dispose de privilèges étendus sur l’ordinateur local et agit comme ordinateur sur le réseau. Son jeton inclut les SID NT AUTHORITY\SYSTEM et BUILTIN\Administration istrators ; ces comptes ont accès à la plupart des objets système. Un service qui s’exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité du Gestionnaire de contrôle de service. La plupart des services n’ont pas besoin d’un niveau de privilège aussi élevé. Pour plus d’informations, consultez l’article MSDN, compte LocalSystem.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Cette vulnérabilité nécessite qu’un emplacement de Registre spécialement conçu soit analysé par une version affectée du moteur de protection contre les programmes malveillants Microsoft. Pour exploiter cette vulnérabilité, un attaquant doit d’abord se connecter au système, puis définir une clé de Registre utilisateur sur une valeur spécialement conçue.
Si le logiciel anti-programme malveillant affecté a une protection en temps réel activée, le moteur de protection contre les programmes malveillants Microsoft analyse automatiquement l’emplacement, ce qui entraîne l’exploitation de la vulnérabilité et permet à l’attaquant de prendre le contrôle total du système concerné. Si l’analyse en temps réel n’est pas activée, l’attaquant doit attendre qu’une analyse planifiée se produise afin que la vulnérabilité soit exploitée et prenne le contrôle total du système concerné. Un attaquant n’a pas pu exploiter la vulnérabilité en lançant une analyse manuellement.
En outre, l’exploitation de la vulnérabilité peut se produire lorsque le système est analysé à l’aide d’une version affectée de l’outil de suppression de logiciels malveillants (MSRT). Toutefois, si la version actuelle du MSRT s’est déjà exécutée sur le système, un attaquant n’a pas pu utiliser msRT pour exploiter cette vulnérabilité.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Les stations de travail et les serveurs terminal sont principalement à risque. Les serveurs peuvent être plus risqués si les utilisateurs qui n’ont pas suffisamment d’autorisations d’administration sont autorisés à se connecter aux serveurs et à exécuter des programmes. Toutefois, les meilleures pratiques découragent fortement cette autorisation.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont le moteur de protection contre les programmes malveillants Microsoft traite les valeurs lues à partir du Registre.
Lorsque cet avis de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.
Quand cet avis de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque cet avis de sécurité a été émis à l’origine.
Atténuation des facteurs et actions suggérées
Facteurs d’atténuation
L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de ce problème. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Un attaquant doit avoir des informations d’identification d’ouverture de session valides pour exploiter cette vulnérabilité. La vulnérabilité n’a pas pu être exploitée par les utilisateurs anonymes.
- Un attaquant aurait pu utiliser les versions de février 2011 ou antérieures de l’outil de suppression de logiciels malveillants (MSRT) pour exploiter cette vulnérabilité, uniquement si cette version de MSRT n’avait pas déjà été exécutée sur le système. Lorsque cet avis a été publié pour la première fois, pour la majorité des utilisateurs finaux, la version de février 2011 du MSRT aurait déjà été téléchargée et exécutée automatiquement via la mise à jour automatique. Microsoft a publié une version mise à jour pour résoudre le problème dans l’outil de suppression de logiciels malveillants le mardi 8 mars 2011. Les versions de MSRT publiées à cette date ou après cette date ne sont pas vulnérables au problème décrit dans cet avis de sécurité.
Actions suggérées
Il n’existe généralement aucune action requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour. Microsoft recommande aux clients de maintenir les définitions de programmes malveillants à jour à tout moment. Les clients doivent vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées et installées activement pour leurs produits anti-programmes malveillants Microsoft.
Administration istrateurs de déploiements anti-programmes malveillants d’entreprise doivent s’assurer que leur logiciel de gestion des mises à jour est configuré pour approuver et distribuer automatiquement les mises à jour du moteur et les nouvelles définitions de programmes malveillants. Les administrateurs d’entreprise doivent également vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées, approuvées et déployées activement dans leur environnement.
Pour les utilisateurs finaux, les logiciels concernés fournissent des mécanismes intégrés pour la détection et le déploiement automatiques de cette mise à jour. Pour ces clients, la mise à jour sera appliquée dans les 48 heures de sa disponibilité. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure. Les utilisateurs finaux qui ne souhaitent pas attendre peuvent mettre à jour manuellement leur logiciel anti-programme malveillant.
Pour plus d’informations sur la façon de mettre à jour manuellement le moteur de protection contre les programmes malveillants microsoft et les définitions de programmes malveillants, reportez-vous à l’article de la Base de connaissances Microsoft 2510781, ou reportez-vous à la section Forum aux questions (FAQ) à propos de cet avis.
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Cesar Cerrudo d’Argeniss pour signaler la vulnérabilité du moteur de protection contre les programmes malveillants Microsoft (CVE-2011-0037)
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites Web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires du Programme MAPP (Microsoft Active Protections Program).
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (23 février 2011) : avis publié.
- V1.1 (8 mars 2011) : Faq sur les avis révisés pour annoncer la version mise à jour du MSRT et ajouter Forefront Security for Exchange Server à la liste des logiciels non affectés.
Construit à 2014-04-18T13 :49 :36Z-07 :00