Avis de sécurité
Conseils de sécurité Microsoft 2846338
La vulnérabilité dans le moteur de protection contre les programmes malveillants Microsoft pourrait autoriser l’exécution de code à distance
Publication : 14 mai 2013
Version : 1.0
Informations générales
Résumé
Microsoft publie cet avis de sécurité pour vous assurer que les clients sont conscients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft traite également d’une vulnérabilité de sécurité signalée à Microsoft. La mise à jour résout une vulnérabilité qui pourrait autoriser l’exécution de code à distance si le moteur de protection contre les programmes malveillants Microsoft analyse un fichier spécialement conçu. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle complet du système.
Cette vulnérabilité a été divulguée publiquement en tant que déni de service.
Le moteur de protection contre les programmes malveillants Microsoft fait partie de plusieurs produits anti-programme malveillant Microsoft. Consultez la section Logiciels affectés pour obtenir la liste des produits affectés. Mises à jour au moteur de protection contre les programmes malveillants Microsoft sont installés avec les définitions de programmes malveillants mises à jour pour les produits concernés. Administration istrateurs des installations d’entreprise doivent suivre leurs processus internes établis pour s’assurer que les mises à jour de définition et de moteur sont approuvées dans leur logiciel de gestion des mises à jour et que les clients consomment les mises à jour en conséquence.
En règle générale, aucune action n’est nécessaire aux administrateurs d’entreprise ou aux utilisateurs finaux pour installer les mises à jour du moteur de protection contre les programmes malveillants Microsoft, car le mécanisme intégré pour la détection et le déploiement automatiques des mises à jour appliqueront la mise à jour au cours des 48 prochaines heures. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure.
Facteurs d’atténuation :
- Seules les versions x64 du moteur de protection contre les programmes malveillants sont affectées.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Référence CVE | CVE-2013-1346 |
| Dernière version du moteur de protection contre les programmes malveillants Microsoft affecté par cette vulnérabilité | Version 1.1.9402.0 |
| Première version du moteur de protection contre les programmes malveillants Microsoft avec cette vulnérabilité traitée | Version 1.1.9506.0* |
*Si votre version du moteur de protection contre les programmes malveillants Microsoft est égale ou supérieure à cette version, vous n’êtes pas affecté par cette vulnérabilité et n’avez pas besoin d’effectuer d’autres actions. Pour plus d’informations sur la vérification du numéro de version du moteur que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Logiciel affecté
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie du support pour votre version ou édition logicielle, visitez Support Microsoft cycle de vie.
Le moteur de protection contre les programmes malveillants Microsoft fait partie de plusieurs produits anti-programme malveillant Microsoft. En fonction de l’installation du produit anti-programme malveillant Microsoft affecté, cette mise à jour peut avoir des évaluations de gravité différentes. Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité.
Logiciel affecté
| Logiciel anti-programme malveillant | Vulnérabilité du moteur de protection contre les programmes malveillants Microsoft - CVE-2013-1346 |
|---|---|
| Microsoft Forefront Client Security (x64) | Important \ Exécution de code distant |
| Microsoft Forefront Endpoint Protection 2010 (x64) | Important \ Exécution de code distant |
| Microsoft Forefront Security pour SharePoint Service Pack 3 (x64) | Important \ Exécution de code distant |
| Microsoft System Center 2012 Endpoint Protection (x64) | Important \ Exécution de code distant |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) | Important \ Exécution de code distant |
| Outil de suppression de logiciels malveillants Microsoft (x64)[1] | Important \ Exécution de code distant |
| Microsoft Security Essentials (x64) | Important \ Exécution de code distant |
| Préversion de Microsoft Security Essentials (x64) | Important \ Exécution de code distant |
| Windows Defender pour Windows 8 (x64) | Important \ Exécution de code distant |
| Windows Defender pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (x64) | Important \ Exécution de code distant |
| Windows Defender hors connexion (x64) | Important \ Exécution de code distant |
| Windows Intune Endpoint Protection (x64) | Important \ Exécution de code distant |
[1]S’applique uniquement à avril 2013 ou aux versions antérieures de l’outil de suppression de logiciels malveillants Microsoft.
Logiciels non affectés
| Logiciel anti-programme malveillant |
|---|
| N’exécute pas le moteur de protection contre les programmes malveillants |
| Microsoft Forefront Server Security Management Console |
| Serveur Microsoft Internet Security and Acceleration (ISA) |
| N’exécute pas une version vulnérable du moteur de protection contre les programmes malveillants |
| Microsoft Antigen pour Exchange |
| Microsoft Antigen pour la passerelle SMTP |
| Microsoft System Center 2012 Endpoint Protection pour Linux |
| Microsoft System Center 2012 Endpoint Protection pour Mac |
| Microsoft Forefront Protection 2010 pour Exchange Server |
| Microsoft Forefront Security pour Exchange Server Service Pack 2 |
| Microsoft Forefront Security pour Bureau Communications Server |
| Microsoft Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Client Security (x86) |
| Microsoft Forefront Endpoint Protection 2010 (x86) |
| Microsoft Forefront Security pour SharePoint Service Pack 3 (x86) |
| Outil de suppression de logiciels malveillants Microsoft (x86) |
| Microsoft Security Essentials (x86) |
| Préversion de Microsoft Security Essentials (x86) |
| Microsoft System Center 2012 Endpoint Protection (x86) |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86) |
| Microsoft System Center 2012 Endpoint Protection pour Mac Service Pack 1 |
| Windows Defender pour Windows 8 (x86) |
| Windows Defender pour Windows RT |
| Windows Defender pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (x86) |
| Windows Defender hors connexion (x86) |
| Windows Intune Endpoint Protection (x86) |
Index d’exploitabilité
Le tableau suivant fournit une évaluation de l’exploitabilité de la vulnérabilité traitée dans cet avis.
Comment faire utiliser ce tableau ?
Utilisez ce tableau pour en savoir plus sur la probabilité de fonctionnement du code d’exploitation publié dans les 30 jours suivant cette version de conseil. Vous devez passer en revue l’évaluation ci-dessous, conformément à votre configuration spécifique, afin de hiérarchiser votre déploiement. Pour plus d’informations sur ce que signifient ces évaluations et sur la façon dont elles sont déterminées, consultez Microsoft Exploitability Index.
| Titre de la vulnérabilité | ID CVE | Évaluation de l’exploitabilité pour la dernière version logicielle | Évaluation de l’exploitabilité pour les versions antérieures du logiciel | Évaluation de l’exploitabilité du déni de service | Notes clés |
|---|---|---|---|---|---|
| Vulnérabilité du moteur de protection contre les programmes malveillants Microsoft | CVE-2013-1346 | 2 - Le code exploit serait difficile à générer | 2 - Le code exploit serait difficile à générer | Temporaire | Seules les versions x64 du moteur de protection contre les programmes malveillants sont affectées.\ \ Cette vulnérabilité a été divulguée publiquement en tant que déni de service. |
Faq sur les conseils
Microsoft publie-t-il un bulletin de sécurité pour résoudre cette vulnérabilité ?
Non. Microsoft publie cet avis de sécurité informationnel pour vous assurer que les clients sont conscients que cette mise à jour du moteur de protection contre les programmes malveillants Microsoft traite également d’une vulnérabilité de sécurité signalée à Microsoft.
En règle générale, aucune action n’est requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour.
Pourquoi n’est-il généralement pas nécessaire d’installer cette mise à jour ?
En réponse à un paysage des menaces en constante évolution, Microsoft met fréquemment à jour les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft. Afin d’être efficace pour vous protéger contre les menaces nouvelles et courantes, les logiciels anti-programme malveillant doivent être mis à jour avec ces mises à jour en temps opportun.
Pour les déploiements d’entreprise ainsi que pour les utilisateurs finaux, la configuration par défaut dans le logiciel anti-programme malveillant Microsoft permet de s’assurer que les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft sont conservés automatiquement. La documentation produit recommande également que les produits soient configurés pour la mise à jour automatique.
Les meilleures pratiques recommandent aux clients de vérifier régulièrement si la distribution de logiciels, comme le déploiement automatique des mises à jour du moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, fonctionne comme prévu dans leur environnement.
À quelle fréquence le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants sont-ils mis à jour ?
Microsoft publie généralement une mise à jour pour le moteur de protection contre les programmes malveillants Microsoft une fois par mois ou si nécessaire pour vous protéger contre les nouvelles menaces. Microsoft met également à jour les définitions de programmes malveillants trois fois par jour et peut augmenter la fréquence si nécessaire.
Selon le logiciel anti-programme malveillant Microsoft utilisé et la façon dont il est configuré, le logiciel peut rechercher des mises à jour de moteur et de définition tous les jours lorsqu’il est connecté à Internet, jusqu’à plusieurs fois par jour. Les clients peuvent également choisir de case activée manuellement pour les mises à jour à tout moment.
Comment puis-je installer la mise à jour ?
Pour plus d’informations sur l’installation de cette mise à jour, reportez-vous à la section Actions suggérées.
Qu’est-ce que le moteur de protection contre les programmes malveillants Microsoft ?
Le moteur de protection contre les programmes malveillants Microsoft, mpengine.dll, fournit les fonctionnalités d’analyse, de détection et de propre des logiciels antivirus et anti-espions Microsoft. Pour plus d’informations, consultez la section Déploiement du moteur de protection contre les programmes malveillants Microsoft, plus loin dans cet avis.
Où puis-je trouver plus d’informations sur la technologie microsoft anti-programme malveillant ?
Pour plus d’informations, visitez le site web Centre de protection Microsoft contre les programmes malveillants.
FAQ sur la vulnérabilité du moteur de protection contre les programmes malveillants Microsoft - CVE-2013-1346
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que le moteur de protection contre les programmes malveillants Microsoft n’analyse pas correctement un fichier spécialement conçu, entraînant une altération de la mémoire.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle complet du système. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Qu’est-ce que le compte LocalSystem ?
Le compte LocalSystem est un compte local prédéfini utilisé par le gestionnaire de contrôle de service. Il dispose de privilèges étendus sur l’ordinateur local et agit comme ordinateur sur le réseau. Son jeton inclut les SID NT AUTHORITY\SYSTEM et BUILTIN\Administration istrators ; ces comptes ont accès à la plupart des objets système. Un service qui s’exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité du Gestionnaire de contrôle de service. La plupart des services n’ont pas besoin d’un niveau de privilège aussi élevé. Pour plus d’informations, consultez l’article MSDN, compte LocalSystem.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version affectée du moteur de protection contre les programmes malveillants Microsoft. Il existe de nombreuses façons qu’un attaquant puisse placer un fichier spécialement conçu dans un emplacement analysé par le moteur de protection contre les programmes malveillants Microsoft. Par exemple, un attaquant peut utiliser un site web pour fournir un fichier spécialement conçu au système de la victime qui est analysé lorsque le site web est consulté par l’utilisateur. Un attaquant peut également remettre un fichier spécialement conçu par le biais d’un message électronique ou dans un message Instantané Qui est analysé lors de l’ouverture du fichier. En outre, un attaquant peut tirer parti des sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur, pour charger un fichier spécialement conçu dans un emplacement partagé analysé par le moteur de protection contre les programmes malveillants s’exécutant sur le serveur d’hébergement.
Si le logiciel anti-programme malveillant affecté est activé en temps réel, le moteur de protection contre les programmes malveillants Microsoft analyse automatiquement les fichiers, ce qui entraîne l’exploitation de la vulnérabilité lorsque le fichier spécialement conçu est analysé. Si l’analyse en temps réel n’est pas activée, l’attaquant doit attendre qu’une analyse planifiée se produise afin que la vulnérabilité soit exploitée.
En outre, l’exploitation de la vulnérabilité peut se produire lorsque le système est analysé à l’aide d’une version affectée de l’outil de suppression de logiciels malveillants (MSRT).
Quels systèmes sont principalement exposés à la vulnérabilité ?
Les systèmes exécutant une version 64 bits affectée du logiciel anti-programme malveillant sont principalement à risque.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont le moteur de protection contre les programmes malveillants Microsoft analyse les fichiers spécialement conçus.
Lorsque cet avis de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement en tant que déni de service. Il a été affecté à la vulnérabilité commune et à l’exposition CVE-2013-1346.
Quand cet avis de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque cet avis de sécurité a été émis à l’origine.
Actions suggérées
Vérifier que la mise à jour est installée
Les clients doivent vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées et installées activement pour leurs produits anti-programme malveillant Microsoft.
Pour plus d’informations sur la vérification du numéro de version du moteur de protection contre les programmes malveillants Microsoft que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Pour les logiciels concernés, vérifiez que la version du moteur de protection contre les programmes malveillants Microsoft est 1.1.9506.0 ou une version ultérieure.
Si nécessaire, installez la mise à jour
Administration istrateurs des déploiements anti-programme malveillant d’entreprise doivent s’assurer que leur logiciel de gestion des mises à jour est configuré pour approuver et distribuer automatiquement les mises à jour du moteur et les nouvelles définitions de programmes malveillants. Les administrateurs d’entreprise doivent également vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées, approuvées et déployées activement dans leur environnement.
Pour les utilisateurs finaux, les logiciels concernés fournissent des mécanismes intégrés pour la détection et le déploiement automatiques de cette mise à jour. Pour ces clients, la mise à jour sera appliquée dans les 48 heures de sa disponibilité. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure. Les utilisateurs finaux qui ne souhaitent pas attendre peuvent mettre à jour manuellement leur logiciel anti-programme malveillant.
Pour plus d’informations sur la façon de mettre à jour manuellement le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, consultez l’article de la Base de connaissances Microsoft 2510781.
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Graeme Gill d’Argyll CMS pour travailler avec nous sur la vulnérabilité du moteur de protection contre les programmes malveillants Microsoft (CVE-2013-1346)
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Solutions de sécurité pour les professionnels de l’informatique : Résolution des problèmes et support de techNet Security
- Aider à protéger votre ordinateur exécutant Windows contre les virus et les programmes malveillants : Solution antivirus et Security Center
- Support local selon votre pays : Support international
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 mai 2013) : Avis publié.
Construit à 2014-04-18T13 :49 :36Z-07 :00