Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2846338

Una vulnerabilità in Microsoft Malware Protection Engine consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: martedì 14 maggio 2013

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft rilascia il presente advisory sulla sicurezza per garantire che i clienti siano a conoscenza del fatto che un aggiornamento Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft. L'aggiornamento risolve una vulnerabilità che può consentire l'esecuzione di codice in modalità remota se il Microsoft Malware Protection Engine esegue la scansione di un file appositamente predisposto. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire un codice arbitrario nel contesto di protezione dell'account LocalSystem e prendere il controllo totale del sistema.

Le informazioni su questa vulnerabilità sono state divulgate pubblicamente come vulnerabilità ad attacchi di tipo Denial of Service.

Microsoft Malware Protection Engine è incluso in diversi prodotti Microsoft antimalware. Vedere la sezione Software interessato per consultare un elenco di prodotti interessati. Gli aggiornamenti a Microsoft Malware Protection Engine vengono installati con le definizioni malware aggiornate per i prodotti interessati. Gli amministratori delle installazioni aziendali devono attenersi alle procedure interne definite per garantire che gli aggiornamenti delle definizioni e del motore siano approvati nel software di gestione dell'aggiornamento e che i client utilizzino gli aggiornamenti in modo coerente.

In genere, non è richiesta alcuna azione di installazione degli aggiornamenti da parte degli amministratori aziendali o degli utenti finali per Microsoft Malware Protection Engine, dal momento che il meccanismo incorporato per il rilevamento e la distribuzione automatici degli aggiornamenti applica tale aggiornamento entro le successive 48 ore. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura.

Fattori attenuanti:

  • Sono interessate solo le versioni di Malware Protection Engine basate su x64.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Riferimento CVE CVE-2013-1346
Ultima versione di Microsoft Malware Protection Engine interessata da questa vulnerabilità Versione 1.1.9402.0
Prima versione di Microsoft Malware Protection Engine con questa vulnerabilità risolta Versione 1.1.9503.0*

* Se la versione di Microsoft Malware Protection Engine in uso è uguale o successiva a questa versione, la vulnerabilità non ha alcun effetto e non è necessario eseguire alcuna ulteriore azione. Per ulteriori informazioni sulla verifica del numero di versione del motore utilizzata attualmente dal software, vedere la sezione relativa alla verifica dell'installazione dell'aggiornamento dell'articolo 2510781della Microsoft Knowledge Base.

Software interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Microsoft Malware Protection Engine è incluso in diversi prodotti Microsoft antimalware. In base al prodotto antimalware Microsoft interessato installato, l'aggiornamento potrebbe presentare livelli di gravità diversi. I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità.

Software interessato

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato
Software antimalwareVulnerabilità di Microsoft Malware Protection Engine - CVE-2013-1346
Microsoft Forefront Client Security (x64) Importante
Esecuzione di codice in modalità remota
Microsoft Forefront Endpoint Protection 2010 (x64) Importante
Esecuzione di codice in modalità remota
Microsoft Forefront Security per SharePoint Service Pack 3 (x64) Importante
Esecuzione di codice in modalità remota
Microsoft System Center 2012 Endpoint Protection (x64) Importante
Esecuzione di codice in modalità remota
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) Importante
Esecuzione di codice in modalità remota
Strumento di rimozione malware di Microsoft (x64)[1] Importante
Esecuzione di codice in modalità remota
Microsoft Security Essentials (x64) Importante
Esecuzione di codice in modalità remota
Microsoft Security Essentials Prerelease (x64) Importante
Esecuzione di codice in modalità remota
Windows Defender per Windows 8 (x64) Importante
Esecuzione di codice in modalità remota
Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x64) Importante
Esecuzione di codice in modalità remota
Windows Defender Offline (x64) Importante
Esecuzione di codice in modalità remota
Windows Intune Endpoint Protection (x64) Importante
Esecuzione di codice in modalità remota

[1]Si applica solo alle versioni di aprile 2013 o precedenti dello strumento di rimozione malware di Microsoft.

Software non interessato

Software antimalware
Non viene eseguito Malware Protection Engine
Microsoft Forefront Server Security Management Console
Microsoft Internet Security and Acceleration (ISA) Server
Non viene eseguita una versione vulnerabile di Malware Protection Engine
Microsoft Antigen per Exchange
Microsoft Antigen per SMTP Gateway
Microsoft System Center 2012 Endpoint Protection per Linux
Microsoft System Center 2012 Endpoint Protection per Mac
Microsoft Forefront Protection 2010 for Exchange Server
Microsoft Forefront Security per Exchange Server Service Pack 2
Microsoft Forefront Security per Office Communications Server
Microsoft Forefront Threat Management Gateway 2010
Microsoft Forefront Client Security (x86)
Microsoft Forefront Endpoint Protection 2010 (x86)
Microsoft Forefront Security per SharePoint Service Pack 3 (x86)
Strumento di rimozione malware di Microsoft (x86)
Microsoft Security Essentials (x86)
Versione di prova Microsoft Security Essentials (x86)
Microsoft System Center 2012 Endpoint Protection (x86)
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86)
Microsoft System Center 2012 Endpoint Protection per Mac Service Pack 1
Windows Defender per Windows 8 (x86)
Windows Defender per Windows RT
Windows Defender per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 (x86)
Windows Defender Offline (x86)
Windows Intune Endpoint Protection (x86)

La tabella di seguito fornisce una valutazione di exploitability della vulnerabilità risolta in questo advisory.

Come utilizzare questa tabella

Utilizzare questa tabella per conoscere le probabilità di rilascio di un codice di sfruttamento della vulnerabilità funzionante entro 30 giorni da questa versione di advisory. Si suggerisce di analizzare la valutazione di seguito, confrontandola con la propria configurazione specifica, al fine di stabilire la corretta priorità di distribuzione. Per ulteriori informazioni sul significato dei livelli di gravità indicati e sul modo in cui vengono definiti, vedere Microsoft Exploitability Index.

Titolo della vulnerabilitàID CVEValutazione dell'Exploitability per la versione più recente del softwareValutazione dell'Exploitability per la versione meno recente del softwareValutazione dell'Exploitability relativa ad un attacco di tipo Denial of ServiceNote fondamentali
Vulnerabilità di Microsoft Malware Protection Engine CVE-2013-1346 2 - Difficile costruire il codice dannoso 2 - Difficile costruire il codice dannosoTemporaneoSono interessate solo le versioni di Malware Protection Engine basate su x64.

Le informazioni su questa vulnerabilità sono state divulgate pubblicamente come vulnerabilità ad attacchi di tipo Denial of Service.

Microsoft ha intenzione di pubblicare un bollettino sulla sicurezza per risolvere questa vulnerabilità?
No. Microsoft rilascia il presente advisory informativo sulla sicurezza per garantire che i clienti siano a conoscenza del fatto che un aggiornamento Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft.

In genere, non è richiesta alcuna azione di installazione dell'aggiornamento da parte degli amministratori aziendali o degli utenti finali.

Perché non è richiesta alcuna azione di installazione dell'aggiornamento?
In risposta a un ambiente di rischio in continuo mutamento, Microsoft aggiorna frequentemente le definizioni di malware e Microsoft Malware Protection Engine. Per essere efficace nella protezione da nuovi e importanti pericoli, il software antimalware deve essere sempre aggiornato in un modo tempestivo.

Per le distribuzioni aziendali come per gli utenti finali, la configurazione predefinita del software antimalware Microsoft garantisce l'aggiornamento automatico delle definizioni malware e di Microsoft Malware Protection Engine. Nella documentazione di prodotto è inoltre consigliato di configurare i prodotti in modo che vengano aggiornati automaticamente.

Le procedure consigliate suggeriscono ai clienti di verificare regolarmente se la distribuzione del software, quali la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni malware, funzioni correttamente nel proprio ambiente.

Con quale frequenza vengono aggiornati Microsoft Malware Protection Engine e le definizione malware?
Microsoft rilascia in genere un aggiornamento per Microsoft Malware Protection Engine una volta al mese o secondo le necessità di protezione contro i nuovi pericoli. Microsoft in genere aggiorna anche le definizioni malware tre volte al giorno e può aumentare la frequenza quando necessario.

In base al software antimalware Microsoft utilizzato e alla sua configurazione, il software è in grado di ricercare aggiornamenti del motore e delle definizioni quotidianamente quando è disponibile una connessione Internet, anche più volte al giorno. I clienti possono scegliere anche di verificare manualmente la presenza aggiornamenti in qualsiasi momento.

In che modo è possibile installare gli aggiornamenti?
Leggere la sezione Interventi consigliati per informazioni su come installare questo aggiornamento.

Che cos'è Microsoft Malware Protection Engine?
Il modulo Microsoft Malware Protection Engine, mpengine.dll, fornisce funzionalità di ricerca, rivelamento e pulizia del software antivirus e antispyware Microsoft. Per ulteriori informazioni, vedere la sezione Distribuzione di Microsoft Malware Protection Engine, più avanti in questo advisory.

Dov'è possibile reperire ulteriori informazioni sulla tecnologia antimalware di Microsoft ?
Per ulteriori informazioni, visitare il sito Web di Microsoft Malware Protection Center.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota.

Quali sono le cause di questa vulnerabilità?
La vulnerabilità si verifica quando Microsoft Malware Protection Engine non esegue correttamente la scansione di un file appositamente creato provocando danni alla memoria.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire un codice arbitrario nel contesto di protezione dell'account LocalSystem e prendere il controllo totale del sistema. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Che cos'è un account LocalSystem ?
Un account LocalSystem è un account locale predefinito utilizzato da Gestione controllo servizi. Dispone di ampi privilegi sul computer locale e funge da account del computer all'interno della rete. Il suo token include i SID NT AUTHORITY\SYSTEM e BUILTIN\Administrators. Tali account hanno accesso alla maggior parte degli oggetti di sistema. Un servizio in esecuzione nel contesto di un account LocalSystem eredita il contesto di protezione di Gestione controllo servizi. La maggior parte dei servizi non ha bisogno di un livello di privilegi così elevato. Per ulteriori informazioni, vedere l'articolo MSDN LocalSystem Account.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Per sfruttare questa vulnerabilità è necessario che una posizione di registro di sistema appositamente predisposta sia sottoposta a scansione da una versione interessata di Microsoft Malware Protection Engine. Un utente malintenzionato può sfruttare può collocare in diversi modi un file appositamente predisposto in una posizione sottoposta a scansione da Microsoft Malware Protection Engine. Ad esempio, un utente malintenzionato può utilizzare un sito Web per inviare un file appositamente predisposto al sistema della vittima sottoposto a scansione quando il sito Web viene visualizzato dall'utente. Un utente malintenzionato può anche inviare un file appositamente predisposto tramite un messaggio di posta elettronica o Instant Messenger sottoposti a scansione all'apertura del file. Inoltre, un utente malintenzionato può servirsi si siti Web che accettano o pubblicano contenuti forniti da utenti per caricare un file appositamente predisposto in una posizione condivisa sottoposta a scansione tramite Malware Protection Engine in esecuzione sul server host.

Se il software antimalware interessato dispone della protezione in tempo reale, Microsoft Malware Protection Engine eseguirà la scansione dei file automaticamente, conducendo allo sfruttamento della vulnerabilità quando il file appositamente predisposto viene sottoposto a scansione. Se la scansione in tempo reale non è attivata, 'utente malintenzionato dovrebbe attendere finché non venga eseguita la scansione pianificata per sfruttare la vulnerabilità e prendere il controllo totale del sistema interessato.

Inoltre, lo sfruttamento della vulnerabilità potrebbe verificarsi quando il sistema viene sottoposto a scansione tramite una versione interessata di MSRT (Malicious Software Removal Tool).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi più esposti sono quelli sui quali è in esecuzione una versione del software antimalware interessata a 64 bit.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Microsoft Malware Protection Engine eseguire la scansione dei file appositamente predisposti.

Al momento della pubblicazione di questo advisory sulla sicurezza le informazioni sulla vulnerabilità erano disponibili pubblicamente?
Sì. Le informazioni su questa vulnerabilità sono state divulgate pubblicamente come vulnerabilità ad attacchi di tipo Denial of Service. Questa vulnerabilità è stata identificata con il codice CVE-2013-1346.

Al momento del rilascio di questo advisory sulla sicurezza, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente advisory sulla sicurezza, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Verificare che l'aggiornamento sia installato

I clienti dovrebbero verificare che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano state scaricate e installate attivamente per i propri prodotti antimalware Microsoft.

Per ulteriori informazioni sulla verifica del numero di versione di Microsoft Malware Protection Engine utilizzata attualmente dal software, vedere la sezione relativa alla verifica dell'installazione dell'aggiornamento dell'articolo 2510781della Microsoft Knowledge Base.

Per il software interessato, verificare che la versione di Microsoft Malware Protection Engine sia 1.1.9503.0 o superiore.

Se necessario, installare l'aggiornamento

Gli amministratori delle distribuzioni antimalware aziendali devono garantire che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e delle nuove definizioni malware. Gli amministratori aziendali dovrebbero verificare anche che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano scaricate attivamente, approvate ed implementate nel proprio ambiente.

Per gli utenti finali, il software interessato fornisce meccanismi integrati per il rilevamento e la distribuzione automatici di questo aggiornamento. Per questi clienti, l'aggiornamento sarà applicato entro 48 ore della sua disponibilità. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software antimalware.

Per ulteriori informazioni sull'aggiornamento manuale di Microsoft Malware Protection Engine e delle definizioni malware, fare riferimento all'articolo della Microsoft Knowledge Base 2510781.

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Graeme Gill of Argyll CMS per aver collaborato con noi all'eliminazione della vulnerabilità di Microsoft Malware Protection Engine (CVE-2013-1346)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (14 maggio 2013): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft