Avviso di sicurezza
Microsoft Security Advisory 2491888
La vulnerabilità nel motore di protezione malware Microsoft potrebbe consentire l'elevazione dei privilegi
Pubblicato: 23 febbraio 2011 | Aggiornato: 8 marzo 2011
Versione: 1.1
Informazioni generali
Schema riepilogativo
Microsoft sta rilasciando questo avviso di sicurezza per garantire che i clienti siano consapevoli che un aggiornamento al motore di protezione malware Microsoft risolve anche una vulnerabilità di sicurezza segnalata a Microsoft. L'aggiornamento risolve una vulnerabilità segnalata privatamente che potrebbe consentire l'elevazione dei privilegi se microsoft Malware Protection Engine analizza un sistema dopo che un utente malintenzionato con credenziali di accesso valide ha creato una chiave del Registro di sistema appositamente creata. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere gli stessi diritti utente dell'account LocalSystem. Non è stato possibile sfruttare la vulnerabilità da parte di utenti anonimi.
Poiché microsoft Malware Protection Engine fa parte di diversi prodotti antimalware Microsoft, l'aggiornamento al motore di protezione malware Microsoft viene installato insieme alle definizioni di malware aggiornate per i prodotti interessati. Amministrazione istrator di installazioni aziendali devono seguire i processi interni stabiliti per garantire che la definizione e gli aggiornamenti del motore siano approvati nel software di gestione degli aggiornamenti e che i client utilizzano di conseguenza gli aggiornamenti.
In genere, non è necessaria alcuna azione per gli amministratori dell'organizzazione o gli utenti finali per installare questo aggiornamento, perché il meccanismo predefinito per il rilevamento e la distribuzione automatica di questo aggiornamento applicherà l'aggiornamento entro le prossime 48 ore. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Riferimento CVE | CVE-2011-0037 |
| Ultima versione del motore di protezione malware Microsoft interessata da questa vulnerabilità | Versione 1.1.6502.0* |
| Prima versione del motore di protezione malware Microsoft con questa vulnerabilità risolta | Versione 1.1.6603.0** |
*Questa versione è l'ultima versione del motore di protezione malware Microsoft interessata dalla vulnerabilità.
**Se la versione del motore di protezione malware Microsoft è uguale o maggiore di questa versione, non si è interessati da questa vulnerabilità e non è necessario eseguire ulteriori azioni. Per altre informazioni su come verificare il numero di versione del motore in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Classificazioni software e gravità interessate
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, visitare supporto tecnico Microsoft Ciclo di vita.
Microsoft Malware Protection Engine fa parte di diversi prodotti antimalware Microsoft. A seconda del prodotto antimalware Microsoft interessato, questo aggiornamento potrebbe avere valutazioni di gravità diverse. Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità.
Software interessato
| Software antimalware | Vulnerabilità del motore di protezione malware Microsoft - CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Importante \ Elevazione dei privilegi |
| Microsoft Security Essentials | Importante \ Elevazione dei privilegi |
| Microsoft Windows Defender | Importante \ Elevazione dei privilegi |
| Microsoft Forefront Client Security | Importante \ Elevazione dei privilegi |
| Microsoft Forefront Endpoint Protection 2010 | Importante \ Elevazione dei privilegi |
| Strumento di rimozione di software dannoso Microsoft[1] | Importante \ Elevazione dei privilegi |
[1]Si applica solo a febbraio 2011 o versioni precedenti dello strumento di rimozione di software dannoso Microsoft.
Software non interessato
| Software antimalware |
|---|
| Microsoft Antigen per Exchange |
| Microsoft Antigen per il gateway SMTP |
| Forefront Security for Exchange Server |
| Forefront Protection 2010 per Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security per SharePoint |
| Forefront Security for Office Communications Server |
| Strumento di sweep del sistema autonomo Microsoft (parte del set di strumenti di diagnostica e ripristino Microsoft) |
Indice di sfruttabilità
Nella tabella seguente viene fornita una valutazione dell'sfruttabilità della vulnerabilità risolta in questo avviso.
Ricerca per categorie usare questa tabella?
Usare questa tabella per informazioni sulla probabilità di rilascio del codice exploit funzionante entro 30 giorni da questa versione di avviso. È consigliabile esaminare la valutazione seguente, in base alla configurazione specifica, al fine di classificare in ordine di priorità la distribuzione. Per altre informazioni sul significato di queste classificazioni e su come vengono determinate, vedere Microsoft Exploitability Index.For more information about what these ratings mean, and how they are determined, please see Microsoft Exploitability Index.
| Titolo della vulnerabilità | CVE ID | Valutazione dell'indice di sfruttabilità | Note chiave |
|---|---|---|---|
| Vulnerabilità del motore di protezione malware Microsoft | CVE-2011-0037 | 1 - Codice di exploit coerente probabile | Si tratta di una vulnerabilità di elevazione dei privilegi |
Domande frequenti su questo avviso
Perché questo avviso è stato rivisto l'8 marzo 2011?
Quando questo avviso è stato rilasciato per la prima volta, non era disponibile una versione aggiornata dello Strumento di rimozione software dannoso (MSRT). Microsoft ha rilasciato una versione aggiornata di MSRT il martedì 8 marzo 2011 che risolve la vulnerabilità. Le versioni di MSRT rilasciate su o dopo tale data non sono interessate dalla vulnerabilità descritta in questo avviso di sicurezza.
Perché non è stato disponibile alcun aggiornamento per lo strumento di rimozione di software dannoso (MSRT) quando questo avviso di sicurezza è stato rilasciato per la prima volta?
La vulnerabilità potrebbe essere sfruttata solo fino a febbraio 2011 o versioni precedenti di MSRT quando msrt è stato inizialmente offerto e scaricato usando l'Aggiornamenti automatica. Microsoft ha rilasciato una versione aggiornata per risolvere il problema nello strumento di rimozione di software dannoso martedì 8 marzo 2011. Le versioni di MSRT rilasciate su o dopo tale data non sono vulnerabili al problema descritto in questo avviso di sicurezza.
MSRT viene eseguito una sola volta quando viene scaricato usando il Aggiornamenti automatico. Un utente malintenzionato non è riuscito a sfruttare questa vulnerabilità eseguendo manualmente una versione vulnerabile di MSRT.
Microsoft rilascia un bollettino sulla sicurezza per risolvere questa vulnerabilità?
No. Microsoft sta rilasciando questo avviso di sicurezza informativo per garantire che i clienti siano consapevoli che questo aggiornamento del motore di protezione malware Microsoft risolve anche una vulnerabilità di sicurezza segnalata a Microsoft.
In genere, non è necessaria alcuna azione da parte degli amministratori dell'organizzazione o degli utenti finali per installare questo aggiornamento.
Perché in genere non è necessaria alcuna azione per installare questo aggiornamento?
In risposta a un panorama delle minacce in continua evoluzione, Microsoft aggiorna frequentemente le definizioni di malware e microsoft Malware Protection Engine. Per essere efficaci nell'aiutare a proteggersi da minacce nuove e prevalenti, il software antimalware deve essere mantenuto aggiornato con questi aggiornamenti in modo tempestivo.
Per le distribuzioni aziendali e gli utenti finali, la configurazione predefinita nel software antimalware Microsoft consente di garantire che le definizioni di malware e microsoft Malware Protection Engine vengano mantenute aggiornate automaticamente. La documentazione del prodotto consiglia anche che i prodotti siano configurati per l'aggiornamento automatico.
Le procedure consigliate consigliano ai clienti di verificare regolarmente se la distribuzione software, ad esempio la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni di malware, funziona come previsto nel proprio ambiente.
Con quale frequenza vengono aggiornate le definizioni di malware e del motore di protezione malware Microsoft?
Microsoft rilascia in genere un aggiornamento per microsoft Malware Protection Engine una volta al mese o in base alle esigenze per proteggersi da nuove minacce. Microsoft aggiorna anche le definizioni di malware tre volte al giorno e può aumentare la frequenza quando necessario.
A seconda del software antimalware Microsoft usato e di come è configurato, il software può cercare aggiornamenti del motore e delle definizioni ogni giorno quando si è connessi a Internet, fino a più volte al giorno. I clienti possono anche scegliere di controllare manualmente la disponibilità di aggiornamenti in qualsiasi momento.
Come è possibile installare l'aggiornamento?
Amministrazione istrator di installazioni aziendali devono seguire i processi interni stabiliti per garantire che la definizione e gli aggiornamenti del motore siano approvati nel software di gestione degli aggiornamenti e che i client utilizzano di conseguenza gli aggiornamenti.
Per altre informazioni sull'installazione delle definizioni più recenti, visitare Microsoft Malware Protection Center o fare riferimento alla documentazione del prodotto.
Per gli utenti finali, non è necessaria alcuna ulteriore azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente tramite l'aggiornamento automatico o tramite il software antimalware. Per informazioni su come configurare il software antimalware, vedere la documentazione del prodotto.
Per gli utenti finali che vogliono installare questo aggiornamento manualmente, vedere la tabella seguente.
Nota Aggiornamenti disponibile tramite Microsoft Update verrà elencato come Importante. Cercare l'aggiornamento appropriato per il software con un nome simile all'esempio elencato tra parentesi () nella tabella seguente.
| Software | Meccanismo di aggiornamento | Altri metodi di aggiornamento |
|---|---|---|
| Microsoft Security Essentials | Microsoft Update | Come scaricare manualmente gli aggiornamenti delle definizioni più recenti per Microsoft Security Essentials |
| Microsoft Windows Defender | Windows Update | Installare gli aggiornamenti più recenti delle definizioni di Windows Defender |
| Microsoft Forefront Client Security | Microsoft Update | Installare gli aggiornamenti più recenti delle definizioni di Microsoft Forefront Security |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update\ (esempio: "Aggiornamento delle definizioni per Microsoft Forefront Endpoint Protection 2010") | Installare gli aggiornamenti più recenti delle definizioni di Microsoft Forefront Security |
| Strumento di rimozione di software dannoso Microsoft | Windows Update | Strumento di rimozione di software dannoso |
Nota Per altre informazioni sulla distribuzione di questo aggiornamento per prodotti antimalware Microsoft specifici, vedere l'articolo della Microsoft Knowledge Base 2510781.
Che cos'è il motore di protezione malware Microsoft?
Microsoft Malware Protection Engine, mpengine.dll, fornisce le funzionalità di analisi, rilevamento e pulizia per il software antivirus Microsoft e antispyware. Per altre informazioni, vedere la sezione Distribuzione del motore di protezione malware Microsoft, più avanti in questo avviso.
Dove è possibile trovare altre informazioni sulla tecnologia antimalware Microsoft?
Per altre informazioni, visitare il sito Web di Microsoft Malware Protection Center .
Perché ISA Server non è elencato nell'elenco dei software interessati o non interessati?
Anche se Microsoft Internet Security and Acceleration (ISA) Server è il predecessore di Forefront Threat Management Gateway 2010 (TMG), ISA Server non contiene il motore di protezione malware Microsoft e di conseguenza non è considerato in questo avviso. L'analisi malware con microsoft Malware Protection Engine è stata introdotta per la prima volta in Forefront TMG. Per altre informazioni sulle nuove funzionalità in Forefront TMG, vedere la pagina Forefront Threat Management Gateway 2010, Novità.
Domande frequenti sulla vulnerabilità del motore di protezione malware Microsoft - CVE-2011-0037
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di elevazione dei privilegi. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Che cosa causa la vulnerabilità?
La vulnerabilità è causata quando il motore di protezione malware Microsoft non riesce a elaborare correttamente una chiave del Registro di sistema impostata da un utente malintenzionato su un valore appositamente creato.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem e assumere il controllo completo del sistema. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Che cos'è l'account LocalSystem?
L'account LocalSystem è un account locale predefinito usato dal gestore di controllo del servizio. Dispone di privilegi estesi sul computer locale e funge da computer in rete. Il token include i SID NT AUTHORITY\SYSTEM e BUILTIN\Amministrazione istrators; questi account hanno accesso alla maggior parte degli oggetti di sistema. Un servizio eseguito nel contesto dell'account LocalSystem eredita il contesto di sicurezza di Service Control Manager. La maggior parte dei servizi non necessita di un livello di privilegio così elevato. Per altre informazioni, vedere l'articolo MSDN LocalSystem Account.For more information, see the MSDN article, LocalSystem Account.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Questa vulnerabilità richiede che una posizione del Registro di sistema appositamente creata venga analizzata da una versione interessata del motore di protezione malware Microsoft. Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema e quindi impostare una chiave del Registro di sistema utente su un valore appositamente creato.
Se il software antimalware interessato ha una protezione in tempo reale attivata, il motore di protezione malware Microsoft analizzerà automaticamente la posizione, causando lo sfruttamento della vulnerabilità e consentendo all'utente malintenzionato di assumere il controllo completo del sistema interessato. Se l'analisi in tempo reale non è abilitata, l'utente malintenzionato dovrà attendere fino a quando non si verifica un'analisi pianificata per poter sfruttare la vulnerabilità e assumere il controllo completo del sistema interessato. Un utente malintenzionato non è riuscito a sfruttare la vulnerabilità avviando manualmente un'analisi.
Inoltre, lo sfruttamento della vulnerabilità può verificarsi quando il sistema viene analizzato usando una versione interessata dello strumento di rimozione software dannoso (MSRT). Tuttavia, se la versione corrente di MSRT è già in esecuzione nel sistema, un utente malintenzionato non è riuscito a usare MSRT per sfruttare questa vulnerabilità.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Le workstation e i server terminal sono principalmente a rischio. I server potrebbero essere più a rischio se agli utenti che non dispongono di autorizzazioni amministrative sufficienti è consentito accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui microsoft Malware Protection Engine elabora i valori letti dal Registro di sistema.
Quando è stato rilasciato questo avviso di sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità.
Quando è stato rilasciato questo avviso di sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo avviso di sicurezza è stato originariamente rilasciato.
Mitigazione di fattori e azioni suggerite
Fattori di mitigazione
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità di questo problema. I fattori di mitigazione seguenti possono essere utili nella situazione:
- Per sfruttare questa vulnerabilità, un utente malintenzionato deve disporre di credenziali di accesso valide. Non è stato possibile sfruttare la vulnerabilità da parte di utenti anonimi.
- Un utente malintenzionato avrebbe potuto usare le versioni di febbraio 2011 o precedenti dello Strumento di rimozione software dannoso (MSRT) per sfruttare questa vulnerabilità, solo se tale versione di MSRT non era già stata eseguita nel sistema. Quando questo avviso è stato rilasciato per la prima volta, per la maggior parte degli utenti finali, la versione di febbraio 2011 di MSRT sarebbe già stata scaricata ed eseguita automaticamente tramite l'aggiornamento automatico. Microsoft ha rilasciato una versione aggiornata per risolvere il problema nello strumento di rimozione di software dannoso martedì 8 marzo 2011. Le versioni di MSRT rilasciate su o dopo tale data non sono vulnerabili al problema descritto in questo avviso di sicurezza.
Azioni suggerite
In genere non è necessaria alcuna azione per gli amministratori dell'organizzazione o gli utenti finali per installare questo aggiornamento. Microsoft consiglia ai clienti di mantenere sempre aggiornate le definizioni di malware. I clienti devono verificare che la versione più recente del motore di protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati e installati attivamente per i prodotti antimalware Microsoft.
Amministrazione istrator di distribuzioni antimalware aziendali devono assicurarsi che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e le nuove definizioni di malware. Gli amministratori aziendali devono anche verificare che la versione più recente del motore di Protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati, approvati e distribuiti attivamente nel proprio ambiente.
Per gli utenti finali, il software interessato fornisce meccanismi predefiniti per il rilevamento automatico e la distribuzione di questo aggiornamento. Per questi clienti, l'aggiornamento verrà applicato entro 48 ore dalla disponibilità. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non vogliono aspettare possono aggiornare manualmente il software antimalware.
Per altre informazioni su come aggiornare manualmente le definizioni del motore di protezione malware e del malware di Microsoft, vedere l'articolo della Microsoft Knowledge Base 2510781 oppure fare riferimento alla sezione Domande frequenti su questo avviso.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Cerrudo di Argeniss per la segnalazione della vulnerabilità del motore di protezione malware Microsoft (CVE-2011-0037)
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (23 febbraio 2011): Avviso pubblicato.
- V1.1 (8 marzo 2011): domande frequenti aggiornate sull'avviso per annunciare la versione aggiornata di MSRT e aggiunto Forefront Security per Exchange Server all'elenco di software non interessato.
Costruito al 2014-04-18T13:49:36Z-07:00