Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2491888

La vulnerabilità di Microsoft Malware Protection Engine potrebbe consentire l'acquisizione di privilegi più elevati

Data di pubblicazione: mercoledì 23 febbraio 2011 | Aggiornamento: martedì 8 marzo 2011

Versione: 1.1

Informazioni generali

Riepilogo

Microsoft rilascia il presente advisory sulla sicurezza per garantire che i clienti siano a conoscenza del fatto che un aggiornamento Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft. L'aggiornamento risolve una vulnerabilità segnalata privatamente che potrebbe consentire l'acquisizione di privilegi più elevati se Microsoft Malware Protection Engine esegue la scansione del sistema dopo che un utente malintenzionato con credenziali di accesso valide ha creato una chiave di registro di sistema appositamente predisposta. Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe acquisire gli stessi diritti utente dell'account LocalSystem. La vulnerabilità non può essere sfruttata da utenti anonimi.

Poiché Microsoft Malware Protection Engine fa parte di diversi prodotti Microsoft anti-malware, l'aggiornamento a Microsoft Malware Protection Engine viene installato con le definizioni malware aggiornate per i prodotti interessati. Gli amministratori delle installazioni aziendali devono attenersi alle procedure interne definite per garantire che gli aggiornamenti delle definizioni e del motore siano approvati nel software di gestione dell'aggiornamento e che i client utilizzino gli aggiornamenti in modo coerente.

In genere, non è richiesta alcuna azione di installazione dell'aggiornamento da parte degli amministratori aziendali o degli utenti finali, dal momento che il meccanismo incorporato per il rilevamento e la distribuzione automatici di questo aggiornamento applica tale aggiornamento entro le successive 48 ore. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Riferimento CVE CVE-2011-0037
Ultima versione di Microsoft Malware Protection Engine interessata da questa vulnerabilità Versione 1.1.6502.0*
Prima versione di Microsoft Malware Protection Engine con questa vulnerabilità risolta Versione 1.1.6603.0**

*Questa versione è l'ultima versione di Microsoft Malware Protection Engine interessata dalla vulnerabilità.

**Se la versione di Microsoft Malware Protection Engine in uso è uguale o successiva a questa versione, la vulnerabilità non ha alcun effetto e non è necessario eseguire alcuna ulteriore azione. Per ulteriori informazioni sulla verifica del numero di versione del motore utilizzata attualmente dal software, vedere la sezione relativa alla verifica dell'installazione dell'aggiornamento dell'articolo 2510781 della Microsoft Knowledge Base.

Software interessato e livelli di gravità

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Microsoft Malware Protection Engine è incluso in diversi prodotti Microsoft anti-malware. In base al prodotto anti-malware Microsoft interessato installato, l'aggiornamento potrebbe presentare livelli di gravità diversi. I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità.

Software interessato

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato
Software anti-malwareVulnerabilità del modulo Microsoft Malware Protection Engine - CVE-2011-0037
Windows Live OneCare Importante 
Acquisizione di privilegi più elevati
Microsoft Security Essentials Importante 
Acquisizione di privilegi più elevati
Microsoft Windows Defender Importante 
Acquisizione di privilegi più elevati
Microsoft Forefront Client Security Importante 
Acquisizione di privilegi più elevati
Microsoft Forefront Endpoint Protection 2010 Importante 
Acquisizione di privilegi più elevati
Microsoft Malicious Software Removal Tool[1] Importante 
Acquisizione di privilegi più elevati

[1]Si applica solo alle versioni di febbraio 2011 o precedenti del Microsoft Malicious Software Removal Tool.

Software non interessato

Software anti-malware
Microsoft Antigen per Exchange
Microsoft Antigen per SMTP Gateway
Forefront Security for Exchange Server
Forefront Protection 2010 per Exchange Server
Forefront Threat Management Gateway 2010
Microsoft Forefront Security per SharePoint
Forefront Security per Office Communications Server
Microsoft Standalone System Sweeper (parte di Microsoft Diagnostics and Recovery Toolset)

La tabella di seguito fornisce una valutazione di exploitability della vulnerabilità risolta in questo advisory.

Come utilizzare questa tabella

Utilizzare questa tabella per conoscere le probabilità di rilascio di un codice di sfruttamento della vulnerabilità funzionante entro 30 giorni da questa versione di advisory. Si suggerisce di analizzare la valutazione di seguito, confrontandola con la propria configurazione specifica, al fine di stabilire la corretta priorità di distribuzione. Per ulteriori informazioni sul significato dei livelli di gravità indicati e sul modo in cui essi vengono definiti, vedere Microsoft Exploitability Index.

Titolo della vulnerabilitàID CVEValutazione dell'Exploitability IndexNote fondamentali
Vulnerabilità di Microsoft Malware Protection Engine CVE-2011-0037 1 - In caso di sfruttamento sistematico della vulnerabilitàSi tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati

Perché Microsoft ha rivisto questo advisory in data 8 marzo 2011?  
Quando questo advisory è stato rilasciato, non era disponibile una versione aggiornata di Microsoft Malicious Software Removal Tool (MSRT). Martedì 8 marzo 2011 Microsoft ha rilasciato una versione aggiornata di MSRT che risolve la vulnerabilità. Le versioni di MSRT rilasciate in tale data o successivamente non sono interessate dalla vulnerabilità descritta in questo advisory sulla sicurezza.

Perché non era disponibile alcun aggiornamento per Malicious Software Removal Tool (MSRT) quando questo advisory sulla sicurezza è stato rilasciato?  
La vulnerabilità poteva essere sfruttata solo nelle versioni di MSRT del mese di febbraio 2011 o precedenti quando lo strumento è stato offerto e scaricato tramite Aggiornamenti automatici. Microsoft ha rilasciato una versione aggiornata per risolvere il problema relativo a Malicious Software Removal Tool in data martedì 8 marzo 2011. Le versioni di MSRT rilasciate in tale data o successivamente non sono interessate dal problema descritto in questo advisory sulla sicurezza.

MSRT viene eseguito solo una volta quando viene scaricato tramite Aggiornamenti automatici. Un utente malintenzionato non può sfruttare questa vulnerabilità eseguendo una versione vulnerabile di MSRT manualmente.

Microsoft ha intenzione di pubblicare un bollettino sulla sicurezza per risolvere questa vulnerabilità?  
No. Microsoft rilascia il presente advisory informativo sulla sicurezza per garantire che i clienti siano a conoscenza del fatto che un aggiornamento Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft.

In genere, non è richiesta alcuna azione di installazione dell'aggiornamento da parte degli amministratori aziendali o degli utenti finali.

Perché non è richiesta alcuna azione di installazione dell'aggiornamento?  
In risposta a un ambiente di rischio in continuo mutamento, Microsoft aggiorna frequentemente le definizioni di malware e Microsoft Malware Protection Engine. Per essere efficace nella protezione da nuovi e importanti pericoli, il software anti-malware deve essere sempre aggiornato in un modo tempestivo.

Per le distribuzioni aziendali come per gli utenti finali, la configurazione predefinita del software anti-malware Microsoft garantisce l'aggiornamento automatico delle definizioni malware e di Microsoft Malware Protection Engine. Nella documentazione di prodotto è inoltre consigliato di configurare i prodotti in modo che vengano aggiornati automaticamente.

Le procedure consigliate suggeriscono ai clienti di verificare regolarmente se la distribuzione del software, quali la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni malware, funzioni correttamente nel proprio ambiente.

Con quale frequenza vengono aggiornati Microsoft Malware Protection Engine e le definizione malware?  
Microsoft rilascia in genere un aggiornamento per Microsoft Malware Protection Engine una volta al mese o secondo le necessità di protezione contro i nuovi pericoli. Microsoft in genere aggiorna anche le definizioni malware tre volte al giorno e può aumentare la frequenza quando necessario.

In base al software anti-malware Microsoft utilizzato e alla sua configurazione, il software è in grado di ricercare aggiornamenti del motore e delle definizioni quotidianamente quando è disponibile una connessione Internet, anche più volte al giorno. I clienti possono scegliere anche di verificare manualmente la presenza aggiornamenti in qualsiasi momento.

In che modo è possibile installare gli aggiornamenti?  
Gli amministratori delle installazioni aziendali devono attenersi alle procedure interne definite per garantire che gli aggiornamenti delle definizioni e del motore siano approvati nel software di gestione dell'aggiornamento e che i client utilizzino gli aggiornamenti in modo coerente.

Per ulteriori informazioni sull'installazione delle definizioni più recenti, visitare il Microsoft Malware Protection Center o fare riferimento alla documentazione del prodotto.

Per gli utenti finali, non è richiesta alcuna ulteriore azione dal momento che questo aggiornamento per la protezione verrà scaricato e installato automaticamente tramite l'aggiornamento automatico o il software anti-malware. Per le informazioni sulla configurazione del software anti-malware, fare riferimento alla documentazione del prodotto.

Per gli utenti finali che desiderano installare questo aggiornamento manualmente, fare riferimento alla tabella di seguito.

Nota Gli aggiornamenti disponibili tramite Microsoft Update saranno elencati come Importante. Cercare l'aggiornamento corretto per il software in uso con un nome simile all'esempio elencato in parentesi () nella tabella di seguito.

SoftwareMeccanismo di aggiornamentoAltri metodi di aggiornamento
Microsoft Security Essentials Microsoft Update Download manuale degli aggiornamenti delle definizioni più recenti per Microsoft Security Essentials
Microsoft Windows Defender Windows Update Installare gli aggiornamenti più recenti della definizione di Windows Defender
Microsoft Forefront Client Security Microsoft Update Installare gli aggiornamenti più recenti delle definizioni di Microsoft Forefront Security
Microsoft Forefront Endpoint Protection 2010 Microsoft Update
(Esempio: "Aggiornamento delle definizioni per Microsoft Forefront Endpoint Protection 2010")
Installare gli aggiornamenti più recenti delle definizioni di Microsoft Forefront Security
Microsoft Malicious Software Removal Tool Windows Update Malicious Software Removal Tool

Nota Per ulteriori informazioni sulla distribuzione di questo aggiornamento per prodotti anti-malware Microsoft specifici, fare riferimento all'articolo 2510781 della Microsoft Knowledge Base.

Che cos'è Microsoft Malware Protection Engine?  
Il modulo Microsoft Malware Protection Engine, mpengine.dll, fornisce funzionalità di ricerca, rivelamento e pulizia del software antivirus e antispyware Microsoft. Per ulteriori informazioni, vedere la sezione Distribuzione di Microsoft Malware Protection Engine, più avanti in questo advisory.

Dov'è possibile reperire ulteriori informazioni sulla tecnologia anti-malware di Microsoft?  
Per ulteriori informazioni, visitare il sito Web Microsoft Malware Protection Center Web.

Perché il server ISA non è presente negli elenchi dei software interessati o non interessati?  
Poiché il server Microsoft Internet Security and Acceleration (ISA) rappresenta la versione precedente di Forefront Threat Management Gateway 2010 (TMG), il server ISA non contiene Microsoft Malware Protection Engine e di conseguenza non viene trattato nel presente advisory. La funzione di scansione malware tramite Microsoft Malware Protection Engine è stato introdotta inizialmente in Forefront TMG. Per ulteriori informazioni sulle nuove funzionalità in Forefront TMG, vedere la pagina di Forefront Threat Management Gateway 2010, Novità.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati. Un utente malintenzionato in grado di sfruttare questa vulnerabilità può eseguire un codice arbitrario nel contesto di protezione dell'account LocalSystem. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità si verifica quando Microsoft Malware Protection Engine non esegue correttamente l'elaborazione di una chiave di registro che un utente malintenzionato ha impostato con un valore appositamente predisposto.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire un codice arbitrario nel contesto di protezione dell'account LocalSystem e prendere il controllo totale del sistema. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Che cos'è un account LocalSystem?  
Un account LocalSystem è un account locale predefinito utilizzato da Gestione controllo servizi. Dispone di ampi privilegi sul computer locale e funge da account del computer all'interno della rete. Il suo token include i SID NT AUTHORITY\SYSTEM e BUILTIN\Administrators. Tali account hanno accesso alla maggior parte degli oggetti di sistema. Un servizio in esecuzione nel contesto di un account LocalSystem eredita il contesto di protezione di Gestione controllo servizi. La maggior parte dei servizi non ha bisogno di un livello di privilegi così elevato. Per ulteriori informazioni, vedere l'articolo di MSDN LocalSystem Account.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità richiede che una posizione di registro di sistema appositamente predisposta sia sottoposta a scansione da una versione interessata di Microsoft Malware Protection Engine. Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe prima accedere al sistema, quindi impostare una chiave di registro utente su un valore appositamente predisposto.

Se il software anti-malware interessato dispone della protezione di tempo reale, Microsoft Malware Protection Engine eseguirà la scansione della posizione automaticamente, conducendo allo sfruttamento della vulnerabilità e consentendo all'utente malintenzionato di prendere il controllo totale del sistema interessato. Se la scansione di tempo reale non è attivata, l'utente malintenzionato dovrebbe attendere finché non venga eseguita la scansione pianificata per sfruttare la vulnerabilità e prendere il controllo totale del sistema interessato. Un utente malintenzionato non può sfruttare la vulnerabilità avviando una scansione manuale.

Inoltre, lo sfruttamento della vulnerabilità potrebbe verificarsi quando il sistema viene sottoposto a scansione tramite una versione interessata di MSRT (Malicious Software Removal Tool). Tuttavia, se la versione attuale di MSRT è già in esecuzione sul sistema, un utente malintenzionato non può utilizzare MSRT per sfruttare questa vulnerabilità.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi maggiormente a rischio sono workstation e server terminal. I server potrebbero essere maggiormente a rischio se agli utenti privi di autorizzazioni amministrative sufficienti è consentito di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Malware Protection Engine elabora i valori letti dal registro di sistema.

Al momento della pubblicazione di questo advisory sulla sicurezza le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento della pubblicazione di questo advisory erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente advisory sulla sicurezza, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Fattori attenuanti

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura generica consigliata esistente in uno stato predefinito in grado di ridurre la gravità del problema. I seguenti fattori attenuanti possono essere utili per l'utente:

  • L'utente malintenzionato deve essere in possesso di credenziali di accesso valide per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata da utenti anonimi.
  • Un utente malintenzionato avrebbe potuto utilizzare le versioni di febbraio 2011 o precedenti di Malicious Software Removal Tool (MSRT) per sfruttare questa vulnerabilità, solo se la versione di MSRT non era in esecuzione sul sistema. Quando questo advisory è stato rilasciato, per la maggioranza degli utenti finali, la versione di MSRT di febbraio 2011 doveva già essere stata scaricata ed eseguita automaticamente tramite Aggiornamenti automatici. Microsoft ha rilasciato una versione aggiornata per risolvere il problema relativo a Malicious Software Removal Tool in data martedì 8 marzo 2011. Le versioni di MSRT rilasciate in tale data o successivamente non sono interessate dal problema descritto in questo advisory sulla sicurezza.

Interventi consigliati

In genere, non è richiesta alcuna azione di installazione dell'aggiornamento da parte degli amministratori aziendali o degli utenti finali. Microsoft consiglia ai clienti di aggiornare costantemente le definizioni di malware. I clienti dovrebbero verificare che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano state scaricate e installate attivamente per i propri prodotti anti-malware Microsoft.

Gli amministratori delle distribuzioni anti-malware aziendali devono garantire che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e delle nuove definizioni malware. Gli amministratori aziendali dovrebbero verificare anche che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano scaricate attivamente, approvate ed implementate nel proprio ambiente.

Per gli utenti finali, il software interessato fornisce meccanismi integrati per il rilevamento e la distribuzione automatici di questo aggiornamento. Per questi clienti, l'aggiornamento sarà applicato entro 48 ore della sua disponibilità. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software anti-malware.

Per ulteriori informazioni sull'aggiornamento manuale di Microsoft Malware Protection Engine e delle definizioni malware, fare riferimento all'articolo 2510781 della Microsoft Knowledge Base o alla sezione, Domande frequenti su questo advisory.

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Cesar Cerrudo di Argeniss per aver segnalato la vulnerabilità di Microsoft Malware Protection Engine (CVE-2011-0037)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (23 febbraio 2011): Pubblicazione dell'advisory.
  • V1.1 (8 marzo 2011): È stata rivista la domanda frequente sull'advisory per comunicare la versione aggiornata di MSRT e l'aggiunta di Forefront Security per Exchange Server all'elenco dei software non interessati.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft