Conseils de sécurité Microsoft 2974294
La vulnérabilité dans le moteur de protection contre les programmes malveillants Microsoft pourrait autoriser le déni de service
Publication : 17 juin 2014
Version : 1.0
Informations générales
Résumé
Microsoft publie cet avis de sécurité pour informer les clients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft résout une vulnérabilité de sécurité signalée à Microsoft. La vulnérabilité peut autoriser le déni de service si le moteur de protection contre les programmes malveillants Microsoft analyse un fichier spécialement conçu. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait empêcher le moteur de protection contre les programmes malveillants Microsoft de surveiller les systèmes affectés jusqu’à ce que le fichier spécialement conçu soit supprimé manuellement et que le service soit redémarré.
Le moteur de protection contre les programmes malveillants Microsoft est fourni avec plusieurs produits microsoft anti-programme malveillant. Consultez la section Logiciels affectés pour obtenir la liste des produits affectés. Mises à jour au moteur de protection contre les programmes malveillants Microsoft sont installés avec les définitions de programmes malveillants mises à jour pour les produits concernés. Administration istrateurs des installations d’entreprise doivent suivre leurs processus internes établis pour s’assurer que les mises à jour de définition et de moteur sont approuvées dans leur logiciel de gestion des mises à jour et que les clients consomment les mises à jour en conséquence.
En règle générale, aucune action n’est nécessaire aux administrateurs d’entreprise ou aux utilisateurs finaux pour installer les mises à jour du moteur de protection contre les programmes malveillants Microsoft, car le mécanisme intégré pour la détection et le déploiement automatiques des mises à jour appliqueront la mise à jour dans les 48 heures de publication. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Informations de référence | Identification |
|---|---|
| Référence CVE | CVE-2014-2779 |
| Dernière version du moteur de protection contre les programmes malveillants Microsoft affecté par cette vulnérabilité | Version 1.1.10600.0 |
| Première version du moteur de protection contre les programmes malveillants Microsoft avec cette vulnérabilité traitée | Version 1.1.10701.0* |
*Si votre version du moteur de protection contre les programmes malveillants Microsoft est égale ou supérieure à cette version, vous n’êtes pas affecté par cette vulnérabilité et n’avez pas besoin d’effectuer d’autres actions. Pour plus d’informations sur la vérification du numéro de version du moteur que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Logiciel affecté
Cet avis traite du logiciel suivant.
Logiciel affecté
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | |
|---|---|
| Logiciel anti-programme malveillant | Vulnérabilité par déni de service dans le moteur de protection contre les programmes malveillants Microsoft - CVE-2014-2779 |
| Microsoft Forefront Client Security | Déni de service important |
| Microsoft Forefront Endpoint Protection 2010 | Déni de service important |
| Microsoft Forefront Security pour SharePoint Service Pack 3 | Déni de service important |
| Microsoft System Center 2012 Endpoint Protection | Déni de service important |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 | Déni de service important |
| Outil de suppression de logiciels malveillants Microsoft[1] | Déni de service important |
| Microsoft Security Essentials | Déni de service important |
| Préversion de Microsoft Security Essentials | Déni de service important |
| Windows Defender pour Windows 8, Windows 8.1, Windows Server 2012 et Windows Server 2012 R2 | Déni de service important |
| Windows Defender pour Windows RT et Windows RT 8.1 | Déni de service important |
| Windows Defender pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 | Déni de service important |
| Windows Defender hors connexion | Déni de service important |
| Windows Intune Endpoint Protection | Déni de service important |
[1]S’applique uniquement à mai 2014 ou versions antérieures de l’outil de suppression de logiciels malveillants Microsoft.
Logiciels non affectés
| Logiciel anti-programme malveillant |
|---|
| N’exécute pas le moteur de protection contre les programmes malveillants |
| Microsoft Forefront Server Security Management Console |
| Serveur Microsoft Internet Security and Acceleration (ISA) |
Index d’exploitabilité
Le tableau suivant fournit une évaluation de l’exploitabilité de la vulnérabilité traitée dans cet avis.
Comment faire utiliser ce tableau ?
Utilisez ce tableau pour en savoir plus sur la probabilité de fonctionnement du code d’exploitation publié dans les 30 jours suivant cette version de conseil. Vous devez passer en revue l’évaluation ci-dessous, conformément à votre configuration spécifique, afin de hiérarchiser votre déploiement. Pour plus d’informations sur ce que signifient ces évaluations et sur la façon dont elles sont déterminées, consultez Microsoft Exploitability Index.
| Titre de la vulnérabilité | CVE ID | Évaluation de l’exploitabilité pour la dernière version logicielle | Évaluation de l’exploitabilité pour les versions antérieures du logiciel | Évaluation de l’exploitabilité du déni de service | Notes clés |
|---|---|---|---|---|---|
| Vulnérabilité par déni de service dans le moteur de protection contre les programmes malveillants Microsoft | CVE-2014-2779 | 3 - Exploiter le code peu probable | 3 - Exploiter le code peu probable | Durable | Il s’agit d’une vulnérabilité par déni de service. \ L’exploitation de cette vulnérabilité peut entraîner le blocage permanent du système d’exploitation ou d’une application jusqu’à ce qu’elle soit redémarrée manuellement. Elle peut également entraîner la fermeture ou la fermeture inattendue d’une application sans récupérer automatiquement. |
Faq sur les conseils
Microsoft publie-t-il un bulletin de sécurité pour résoudre cette vulnérabilité ?
Non. Microsoft publie cet avis de sécurité informationnel pour informer les clients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft résout une vulnérabilité de sécurité signalée à Microsoft.
En règle générale, aucune action n’est requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour.
Pourquoi n’est-il généralement pas nécessaire d’installer cette mise à jour ?
En réponse à un paysage des menaces en constante évolution, Microsoft met fréquemment à jour les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft. Afin d’être efficace pour vous protéger contre les menaces nouvelles et courantes, les logiciels anti-programme malveillant doivent être mis à jour avec ces mises à jour en temps opportun.
Pour les déploiements d’entreprise ainsi que pour les utilisateurs finaux, la configuration par défaut dans le logiciel anti-programme malveillant Microsoft permet de s’assurer que les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft sont conservés automatiquement. La documentation produit recommande également que les produits soient configurés pour la mise à jour automatique.
Les meilleures pratiques recommandent aux clients de vérifier régulièrement si la distribution de logiciels, comme le déploiement automatique des mises à jour du moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, fonctionne comme prévu dans leur environnement.
À quelle fréquence le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants sont-ils mis à jour ?
Microsoft publie généralement une mise à jour pour le moteur de protection contre les programmes malveillants Microsoft une fois par mois ou si nécessaire pour vous protéger contre les nouvelles menaces. Microsoft met également à jour les définitions de programmes malveillants trois fois par jour et peut augmenter la fréquence si nécessaire.
Selon le logiciel anti-programme malveillant Microsoft utilisé et la façon dont il est configuré, le logiciel peut rechercher des mises à jour de moteur et de définition tous les jours lorsqu’il est connecté à Internet, jusqu’à plusieurs fois par jour. Les clients peuvent également choisir de case activée manuellement pour les mises à jour à tout moment.
Comment puis-je installer la mise à jour ?
Pour plus d’informations sur l’installation de cette mise à jour, reportez-vous à la section Actions suggérées.
Qu’est-ce que le moteur de protection contre les programmes malveillants Microsoft ?
Le moteur de protection contre les programmes malveillants Microsoft, mpengine.dll, fournit les fonctionnalités d’analyse, de détection et de propre des logiciels antivirus et anti-espions Microsoft.
Où puis-je trouver plus d’informations sur la technologie microsoft anti-programme malveillant ?
Pour plus d’informations, visitez le site web Centre de protection Microsoft contre les programmes malveillants.
FAQ sur la vulnérabilité de déni de service dans le moteur de protection contre les programmes malveillants Microsoft - CVE-2014-2779
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de déni de service.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que le moteur de protection contre les programmes malveillants Microsoft n’analyse pas correctement un fichier spécialement conçu, ce qui entraîne un délai d’expiration d’analyse.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait empêcher le moteur de protection contre les programmes malveillants Microsoft de surveiller les systèmes affectés jusqu’à ce que le fichier spécialement conçu soit supprimé manuellement et que le service soit redémarré.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version affectée du moteur de protection contre les programmes malveillants Microsoft. Il existe de nombreuses façons qu’un attaquant puisse placer un fichier spécialement conçu dans un emplacement analysé par le moteur de protection contre les programmes malveillants Microsoft. Par exemple, un attaquant peut utiliser un site web pour fournir un fichier spécialement conçu au système de la victime qui est analysé lorsque le site web est consulté par l’utilisateur. Un attaquant peut également remettre un fichier spécialement conçu par le biais d’un message électronique ou dans un message Instantané Qui est analysé lors de l’ouverture du fichier. En outre, un attaquant peut tirer parti des sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur, pour charger un fichier spécialement conçu dans un emplacement partagé analysé par le moteur de protection contre les programmes malveillants s’exécutant sur le serveur d’hébergement.
Si le logiciel anti-programme malveillant affecté est activé en temps réel, le moteur de protection contre les programmes malveillants Microsoft analyse automatiquement les fichiers, ce qui entraîne l’exploitation de la vulnérabilité lorsque le fichier spécialement conçu est analysé. Si l’analyse en temps réel n’est pas activée, l’attaquant doit attendre qu’une analyse planifiée se produise afin que la vulnérabilité soit exploitée.
En outre, l’exploitation de la vulnérabilité peut se produire lorsque le système est analysé à l’aide d’une version affectée de l’outil de suppression de logiciels malveillants (MSRT).
Quels systèmes sont principalement exposés à la vulnérabilité ?
Tous les systèmes exécutant une version affectée du logiciel anti-programme malveillant sont principalement à risque.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont le moteur de protection contre les programmes malveillants Microsoft analyse les fichiers spécialement conçus.
Lorsque cet avis de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.
Quand cet avis de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque cet avis de sécurité a été émis à l’origine.
Actions suggérées
Vérifier que la mise à jour est installée
Les clients doivent vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées et installées activement pour leurs produits anti-programme malveillant Microsoft.
Pour plus d’informations sur la vérification du numéro de version du moteur de protection contre les programmes malveillants Microsoft que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Pour les logiciels concernés, vérifiez que la version du moteur de protection contre les programmes malveillants Microsoft est 1.1.10701.0 ou une version ultérieure.
Si nécessaire, installez la mise à jour
Administration istrateurs des déploiements anti-programme malveillant d’entreprise doivent s’assurer que leur logiciel de gestion des mises à jour est configuré pour approuver et distribuer automatiquement les mises à jour du moteur et les nouvelles définitions de programmes malveillants. Les administrateurs d’entreprise doivent également vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées, approuvées et déployées activement dans leur environnement.
Pour les utilisateurs finaux, les logiciels concernés fournissent des mécanismes intégrés pour la détection et le déploiement automatiques de cette mise à jour. Pour ces clients, la mise à jour sera appliquée dans les 48 heures de sa disponibilité. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure. Les utilisateurs finaux qui ne souhaitent pas attendre peuvent mettre à jour manuellement leur logiciel anti-programme malveillant.
Pour plus d’informations sur la façon de mettre à jour manuellement le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, consultez l’article de la Base de connaissances Microsoft 2510781.
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Tavis Ormandy de Google Project Zero pour travailler avec nous sur la vulnérabilité de déni de service dans le moteur de protection contre les programmes malveillants Microsoft (CVE-2014-2779)
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (17 juin 2014) : avis publié.
Page générée 2014-07-07 10 :25Z-07 :00.