Microsoft biztonsági tanácsadó 2491888

A Microsoft Malware Protection Engine biztonsági rése jogok kiterjesztését teszi lehetővé

Közzétéve: 2011. február 23. | Frissítve: 2011. március 8.

Verzió: 1.1

Általános tudnivalók

Összefoglalás

A Microsoft azért bocsátja ki a biztonsági tanácsadót, hogy a felhasználók értesüljenek a Microsoft Malware Protection Engine frissítéséről, mely egyben megszüntet egy, a Microsoftnak jelzett biztonsági rést. A frissítés egy olyan, közvetlenül jelentett biztonsági rést szüntet meg, amely jogok kiterjesztését teszi lehetővé, amikor a Microsoft Malware Protection Engine olyan támadót keres a rendszerben, aki érvényes bejelentkezési adatokkal rendelkezik, és speciális beállításkulcsot hozott létre. A biztonsági rést sikeresen kihasználó támadó a LocalSystem fiókkal egyező hozzáférést nyerhet a rendszerhez. Névtelen felhasználók nem tudják kiaknázni ezt a biztonsági rést.

Mivel a Microsoft Malware Protection Engine több, rosszindulatú szoftverek elleni Microsoft-termék részét képezi, a Microsoft Malware Protection Engine frissítése az érintett termékek frissített rosszindulatúszoftver-definícióival együtt kerül telepítésre. A vállalati telepítésekkel foglalkozó rendszergazdák a bevett belső eljárások segítségével győződjenek meg róla, hogy frissítéskezelő szoftver jóváhagyta-e a definíciók és a motor frissítéseit, és az ügyfelek megfelelően alkalmazzák-e a frissítéseket.

Alapvetően a vállalati rendszergazdák vagy a végfelhasználók részéről nincs szükség további lépésekre a frissítés telepítéséhez, mivel az automatikus észlelési és telepítési funkció 48 órán belül alkalmazza a frissítést. A pontos időbeosztás a használt szoftverektől, az internetcsatlakozás típusától és az infrastruktúra konfigurációjától függ.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
CVE-hivatkozás CVE-2011-0037
A Microsoft Malware Protection Engine utolsó, a biztonsági rés által érintett verziója 1.1.6502.0 verzió*
A Microsoft Malware Protection Engine első verziója, amelynél már kiküszöbölték a biztonsági rést 1.1.6503.0 verzió**

*Ez a Microsoft Malware Protection Engine utolsó, a biztonsági rés által érintett verziója.

**Ha a Microsoft Malware Protection Engine verziószáma megegyezik vagy magasabb a fenti verziószámnál, akkor ez a biztonsági rés nem érinti az Ön rendszerét, és nem kell további lépéseket tennie. A szoftverkörnyezete által használt motorverziószám ellenőrzésének részleteiről lásd A frissítés telepítésének ellenőrzése c. részt a Microsoft Tudásbázis 2510781. cikkében.

Az érintett szoftverek és a súlyossági besorolások

Az itt felsorolt szoftvereket a verziók és változatok érintettségének felderítése érdekében teszteltük. A többi verzió, illetve kiadás támogatási életciklusa végére ért vagy nem érintett. Az egyes szoftverek és azok verzióinak támogatási életciklusáról a Microsoft termékek terméktámogatási életciklusát ismertető webhelyen talál felvilágosítást.

A Microsoft Malware Protection Engine több, rosszindulatú szoftverek elleni Microsoft-termék részét képezi. A telepített, rosszindulatú szoftverek elleni Microsoft-terméktől függően a frissítés eltérő besorolású. A következő súlyossági besorolások a biztonsági rés maximálisan feltételezett hatását veszik számba.

Érintett szoftverek

Biztonsági rés súlyossági besorolása és a maximális biztonsági hatás szoftverenkénti felbontásban
Rosszindulatú szoftverek elleni szoftverA Microsoft Malware Protection Engine biztonsági rése - CVE-2011-0037
Windows Live OneCare Fontos 
Jogok kiterjesztése
Microsoft biztonsági alapok Fontos 
Jogok kiterjesztése
Microsoft Windows Defender Fontos 
Jogok kiterjesztése
Microsoft Forefront Client Security Fontos 
Jogok kiterjesztése
Microsoft Forefront Endpoint Protection 2010 Fontos 
Jogok kiterjesztése
A Microsoft rosszindulatú szoftvereket eltávolító eszköze[1] Fontos 
Jogok kiterjesztése

[1]Csak a Microsoft rosszindulatú szoftvereket eltávolító eszköze 2011. februári vagy annál korábbi verzióira érvényes.

Nem veszélyeztetett szoftverek

Rosszindulatú szoftverek elleni szoftver
Microsoft Antigen for Exchange
Microsoft Antigen for SMTP Gateway
Forefront Security for Exchange Server
Forefront Protection 2010 for Exchange Server
Forefront Threat Management Gateway 2010
Microsoft Forefront Security for SharePoint
Forefront Security for Office Communications Server
Microsoft Standalone System Sweeper (a Microsoft Diagnostics and Recovery Toolset része)

A következő táblázat a tanácsadóban megoldott biztonsági rés kihasználhatósági értékelését ismerteti.

A táblázat használata

A táblázat segítségével meghatározható annak valószínűsége, hogy a tanácsadó kiadását követő 30 napon belül működő rosszindulatú programkódot jelentetnek meg. A telepítés fontossági sorrendjének megállapításához az adott konfigurációnak megfelelően tekintse át az alábbi értékelést. A minősítések jelentéséről és meghatározásuk módjáról a Microsoft biztonsági rések jegyzéke tartalmaz bővebb információt.

A biztonsági rés címeCVE-azonosítóKihasználhatósági információk értékeléseFontos megjegyzések
A Microsoft Malware Protection Engine biztonsági rése CVE-2011-0037 1 - Konzisztens rosszindulatú programkódról van szóA biztonsági rés jogok kiterjesztését teheti lehetővé

Miért módosították a tanácsadót 2011. március 8-án?  
Amikor a tanácsadót először kiadták, a Microsoft rosszindulatú szoftvereket eltávolító eszköze (MSRT) új verziója még nem volt elérhető. A Microsoft 2011. március 8-án adta ki az MSRT frissített változatát, amely elhárítja a biztonsági rés okozta problémát. Az ezen a napon vagy azután kiadott MSRT verziókat már nem érinti a jelen biztonsági tanácsadóban tárgyalt biztonsági rés.

Miért nem volt frissítés a Rosszindulatú szoftvereket eltávolító eszközhöz (MSRT) a biztonsági frissítés első kiadása idején?  
A biztonsági rés csak az MSRT 2011. februári vagy annál korábbi verzióin keresztül használható ki, amennyiben az MSRT alkalmazást az Automatikus frissítések oldal ajánlotta fel, és onnan is töltötték le. A Microsoft 2011. március 8-án frissített kiadást bocsátott ki a Rosszindulatú szoftvereket eltávolító eszközből. Az ezen a napon vagy ennél korábban kibocsátott MSRT verziókat nem érinti a jelen biztonsági tanácsadóban tárgyalt biztonsági rés.

Az Automatikus frissítések oldalról letöltött MSRT csak egyszer fut le. A támadó az MSRT érintett verziójának manuális futtatásával nem tudja kihasználni a biztonsági rést.

A Microsoft ad ki biztonsági közleményt a biztonsági rés megoldása végett?  
Nem. A Microsoft azért bocsátja ki azt a tájékoztató jellegű biztonsági tanácsadót, hogy a felhasználók értesüljenek a Microsoft Malware Protection Engine frissítéséről, mely egyben megszüntet egy, a Microsoftnak jelzett biztonsági rést.

A frissítés telepítéséhez jellemzően nincs szükség aktív beavatkozásra a vállalati rendszergazdák illetve a végfelhasználók részéről.

Miért nincs szükség felhasználói beavatkozásra a frissítés telepítéséhez?  
Az állandóan változó kockázati környezetben a Microsoft gyakran frissíti a rosszindulatú szoftverek definícióit és a Microsoft Malware Protection Engine alkalmazást. Az új és várható kockázatok elleni hatékony védekezéshez állandóan naprakész állapotban kell tartani a rosszindulatú szoftverek elleni szoftvereket.

A vállalati rendszergazdák és végfelhasználók számára a rosszindulatú szoftverek elleni Microsoft-szoftver alapértelmezés szerint gondoskodik a definíciók és a Microsoft Malware Protection Engine automatikus frissítéséről. A termék dokumentációjában azt ajánlják, hogy a termékeket automatikus frissítésre állítsák be.

Amellett érdemes rendszeresen ellenőrizni, hogy a szoftverterjesztés (pl. a Microsoft Malware Protection Engine és a definíciófrissítések automatikus telepítése) a várt módon működik-e a rendszerben.

Milyen gyakran frissül a Microsoft Malware Protection Engine és a rosszindulatú szoftverek definíciói?  
A Microsoft jellemzően havonta egyszer ad ki frissítést a Microsoft Malware Protection Engine alkalmazáshoz – vagy olyan gyakorisággal, ahogy az új fenyegetések megkövetelik. A Microsoft jellemzően naponta háromszor frissíti a rosszindulatú szoftverek definícióit, és szükség esetén fokozhatja a frissítések ütemét.

A rosszindulatú szoftverek elleni Microsoft-szoftver típusától és konfigurációjától függően a szoftver naponta keresheti a motor és a definíciók frissítéseit, amikor csatlakozik az internetre. Ez naponta többször is megtörténhet. A felhasználó manuálisan bármikor ellenőrizheti a frissítéseket.

Hogyan telepíthetem a frissítést?  
A vállalati telepítésekkel foglalkozó rendszergazdák a bevett belső eljárások segítségével győződjenek meg róla, hogy frissítéskezelő szoftver jóváhagyta-e a definíciók és a motor frissítéseit, és az ügyfelek megfelelően alkalmazzák-e a frissítéseket.

A legfrissebb definíciók telepítéséről lásd a Microsoft Malware Protection Center oldalon vagy a termék dokumentációjában foglalt információkat.

A végfelhasználók részéről nincs szükség további műveletekre: a rendszer letölti a biztonsági frissítést, és az automatikusan frissítés vagy a rosszindulatú szoftverek elleni program révén telepíti azt. A rosszindulatú szoftverek elleni szoftver beállításairól lásd az adott termék dokumentációját.

Ha a végfelhasználó manuálisan szeretné telepíteni a frissítést, kövesse az alábbi táblázatot.

Megjegyzés A Microsoft Update oldalon elérhető frissítések Fontos megjelölést kapnak. Keresse ki a szoftveréhez tartozó frissítést (lásd az alábbi táblázat zárójelben () közölt példáját).

SzoftverFrissítési eljárásEgyéb frissítési módszerek
Microsoft biztonsági alapok Microsoft Update Hogyan lehet manuálisan letölteni a Microsoft Security Essentials legfrissebb definícióit?
Microsoft Windows Defender Windows Update A legfrissebb Windows Defender definíciók telepítése
Microsoft Forefront Client Security Microsoft Update A legfrissebb Microsoft Forefront Security definíciók telepítése
Microsoft Forefront Endpoint Protection 2010 Microsoft Update
(Példa: Definíciófrissítés a Microsoft Forefront Endpoint Protection 2010 programhoz)
A legfrissebb Microsoft Forefront Security definíciók telepítése
A Microsoft rosszindulatú szoftvereket eltávolító eszköze Windows Update Rosszindulatú szoftvereket eltávolító eszköz

Megjegyzés A frissítés telepítésének részleteiről a különböző, rosszindulatú szoftvereke elleni Microsoft-termékekhez lásd a Microsoft Tudásbázis 2510781. cikkét.

Mi a Microsoft Malware Protection Engine?  
A Microsoft Malware Protection Engine program (mpengine.dll) a Mirosoft vírus- és kémprogramkereső szoftverek keresési, észlelési és eltávolítási funkcióit biztosítja: További információk a tanácsadó későbbi, A Microsoft Malware Protection Engine telepítése c. részében olvashatók.

Hol található további információ a rosszindulatú szoftverek elleni Microsoft-technológiáról?  
További információk a Microsoft Malware Protection Center weboldalán találhatók.

Az ISA Server miért nem szerepel az érintett és nem érintett szoftverek listáján?  
A Microsoft Internet Security and Acceleration (ISA) Server a Forefront Threat Management Gateway 2010 (TMG) elődje. Az ISA Server nem tartalmazza a Microsoft Malware Protection Engine motort, így nem is vonatkozik rá a jelen tanácsadó témája. A rosszindulatú szoftverek Microsoft Malware Protection Engine használatával végzett keresése először a Forefront TMG alkalmazásban vált lehetővé. A Forefront TMG új funkcióiról lásd a Forefront Threat Management Gateway 2010 oldalát, azon belül is az Újdonságok részt.

Mire terjed ki a biztonsági rés hatása?  
A biztonsági rés jogok kiterjesztését teheti lehetővé. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a LocalSystem fiók biztonsági környezetében. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mi okozza a biztonsági rést?  
A biztonsági rés akkor jön létre, amikor a Microsoft Malware Protection Engine nem megfelelően dolgozza fel a támadó részéről speciális értékre beállított beállításkulcsot.

Mire használhatja a biztonsági rést a támadó?  
A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a LocalSystem fiók biztonsági környezetében, és teljesen átveheti a rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mi a LocalSystem fiók?  
A LocalSystem fiók a szolgáltatásvezérlő által használt, előre meghatározott helyi fiók. Kiterjedt jogosultságokkal rendelkezik a helyi számítógépen, és a hálózaton számítógépként viselkedik. A tokenjében szerepel az NT AUTHORITY\SYSTEM és a BUILTIN\Administrators biztonsági azonosító, az ilyen fiókok hozzáféréssel rendelkeznek a legtöbb rendszerobjektumhoz. A LocalSystem fiók környezetében futó szolgáltatás átveszi a szolgáltatásvezérlő biztonsági környezetét. A legtöbb szolgáltatáshoz nincs szükség ilyen magas jogosultsági szintre. További információért olvassa el a LocalSystem fiók című MSDN-cikket.

Hogyan használhatja ki a támadó a biztonsági rést?  
A biztonsági rés kihasználásához a Microsoft Malware Protection Engine érintett verziójával kell a speciálisan létrehozott beállításkulcs helyére irányuló keresést végezni. A biztonsági rést kihasználó támadónak be kell jelentkeznie a rendszerre, és ott átállítani a felhasználó beállításkulcsát egy speciális értékre.

Ha az érintett, rosszindulatú szoftverek elleni programban működik a valós idejű védelem, a Microsoft Malware Protection Engine automatikusan elvégzi a keresést. Ezáltal kihasználhatóvá válik a biztonsági rés, a támadó pedig átveheti az érintett rendszer irányítását. Ha nincs bekapcsolva a valós idejű keresés, a támadónak a biztonsági rés kihasználásához meg kell várnia az ütemezett keresés időpontját, és csak ekkor veheti át az érintett rendszer irányítását. A támadó a biztonsági rés kihasználásához manuálisan is elindíthatja a keresést.

A biztonsági rést akkor is ki lehet használni, ha a rendszer a Rosszindulatú szoftvereket eltávolító eszköz (MSRT) érintett verziójával végzi a keresést. Azonban ha az aktuális MSRT verzió már lefutott egyszer a rendszeren, a támadó nem tudja felhasználni az MSRT eszközt a biztonsági rés kihasználásához.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?  
Az elsődleges kockázathordozók a munkaállomások és a terminálkiszolgálók. A kiszolgálókat még nagyobb veszély fenyegeti, ha elégséges rendszergazdai jogosultságokkal nem rendelkező felhasználók jelentkezhetnek be és futtathatnak programokat. Ezt azonban a gyakorlati tanácsok értelmében feltétlenül kerülni kell.

Mi a frissítés feladata?  
A frissítés a biztonsági rés elhárítása érdekében javítja a beállításjegyzék értékeinek kiolvasási módját a Microsoft Malware Protection Engine program részéről.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági tanácsadó kiadásának idején?  
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A biztonsági tanácsadó kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?  
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági tanácsadó eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

A hibát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a probléma súlyosságát. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • A támadó csak érvényes bejelentkezési adatok birtokában használhatja ki ezt a biztonsági rést. Névtelen felhasználók nem tudják kiaknázni ezt a biztonsági rést.
  • A támadó csak akkor tudja felhasználni a Rosszindulatú szoftvereket eltávolító eszköz (MSRT) 2011. februári vagy korábbi verzióit a biztonsági rést kihasználó támadásra, amennyiben az MSRT még nem futott a rendszeren. A tanácsadó első kiadásának időpontjában a felhasználók többségénél az MSRT 2011. februári verziója már le van töltve a gépre, és automatikusan lefutott az automatikus frissítés révén. A Microsoft 2011. március 8-án frissített kiadást bocsátott ki a Rosszindulatú szoftvereket eltávolító eszközből. Az ezen a napon vagy ennél korábban kibocsátott MSRT verziókat nem érinti a jelen biztonsági tanácsadóban tárgyalt biztonsági rés.

Javasolt műveletek

A vállalati rendszergazdák, illetve végfelhasználók részéről jellemzően nincs szükség aktív hozzájárulásra a frissítés telepítéséhez. A Microsoft javasolja, hogy mindig legyenek naprakészek a rosszindulatú szoftverekre vonatkozó definíciók. A felhasználók ellenőrizzék, hogy a Microsoft Malware Protection Engine és a definíciók legújabb verziója valóban letöltődik-e a rendszerre, és telepítésre kerül-e a rosszindulatú szoftverek elleni Microsoft-programhoz.

A rosszindulatú szoftverek elleni programok vállalati telepítéséért felelős rendszergazdák győződjenek meg róla, hogy frissítéskezelő programjuk automatikusan jóváhagyja és alkalmazza-e a motor és a definíciók frissítéseit. A vállalati rendszergazdák amellett ellenőrizzék, hogy a Microsoft Malware Protection Engine és a definíciók frissítéseinek legújabb verziója valóban letöltődik-e a rendszerre, majd jóváhagyásra és telepítésre kerül-e a rendszerkörnyezetükben.

A végfelhasználók rendszerében az érintett szoftverek beépített mechanizmusokkal rendelkeznek a frissítés telepítéséhez és automatikus észleléséhez. Az ilyen felhasználóknál a frissítés az elérhetővé válást követő 48 órán belül telepítésre kerül. A pontos időbeosztás a használt szoftverektől, az internetcsatlakozás típusától és az infrastruktúra konfigurációjától függ. Ha nem akarják ezt megvárni, a végfelhasználók manuálisan is telepíthetik a rosszindulatú szoftverek elleni programot.

A Microsoft Malware Protection Engine és a definíciók manuális telepítéséről lásd a Microsoft Tudásbázis 2510781. cikkét, vagy a Gyakran ismételt kérdések (GYIK) a tanácsadó kapcsán c. részt.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Cesar Cerrudo, Argeniss, a Microsoft Malware Protection Engine biztonsági résének (CVE-2011-0037) jelentéséért

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2011. február 23.): Tanácsadó közzététele.
  • 1.1 verzió (2011. március 8.): A tanácsadó GYIK része az MSRT frissített verziójának említésével egészült ki, a Forefront Security for Exchange Server pedig felkerült a nem érintett szoftverek listájára.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: