Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2974294

Una vulnerabilità in Microsoft Malware Protection Engine può consentire attacchi di tipo Denial of Service

Data di pubblicazione: 17 giugno 2014

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft rilascia il presente advisory sulla sicurezza per informare i clienti che un aggiornamento di Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft. La vulnerabilità può consentire un attacco di tipo Denial of Service se Microsoft Malware Protection Engine esegue la scansione di un file appositamente predisposto. Un utente malintenzionato in grado di sfruttare questa vulnerabilità potrebbe impedire a Microsoft Malware Protection Engine di monitorare i sistemi interessati finché il file appositamente predisposto non viene rimosso manualmente e il servizio riavviato.

Microsoft Malware Protection Engine viene fornito con diversi prodotti antimalware Microsoft. Vedere la sezione Software interessato per consultare un elenco di prodotti interessati. Gli aggiornamenti a Microsoft Malware Protection Engine vengono installati con le definizioni malware aggiornate per i prodotti interessati. Gli amministratori delle installazioni aziendali devono attenersi alle procedure interne definite per garantire che gli aggiornamenti delle definizioni e del motore siano approvati nel software di gestione dell'aggiornamento e che i client utilizzino gli aggiornamenti in modo coerente.

In genere, non è richiesta alcuna azione di installazione degli aggiornamenti da parte degli amministratori aziendali o degli utenti finali per Microsoft Malware Protection Engine, dal momento che il meccanismo incorporato per il rilevamento e la distribuzione automatici degli aggiornamenti applica tale aggiornamento entro le 48 ore successive al rilascio. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura.

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

Riferimenti

Identificazione

Riferimento CVE

CVE-2014-2779

Articolo della Microsoft Knowledge Base

2974294

Ultima versione di Microsoft Malware Protection Engine interessata da questa vulnerabilità

Versione 1.1.10600.0

Prima versione di Microsoft Malware Protection Engine con questa vulnerabilità risolta

Versione 1.1.10701.0*

* Se la versione di Microsoft Malware Protection Engine in uso è uguale o successiva a questa versione, la vulnerabilità non ha alcun effetto e non è necessario eseguire alcuna ulteriore azione. Per ulteriori informazioni sulla verifica del numero di versione del motore utilizzata attualmente dal software, vedere la sezione relativa alla verifica dell'installazione dell'aggiornamento dell'articolo 2510781della Microsoft Knowledge Base.

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato

Software antimalware

Vulnerabilità ad attacchi di tipo Denial of Service in Microsoft Malware Protection Engine - CVE-2014-2779

Microsoft Forefront Client Security

Importante 
Denial of Service

Microsoft Forefront Endpoint Protection 2010

Importante 
Denial of Service

Microsoft Forefront Security per SharePoint Service Pack 3

Importante 
Denial of Service

Microsoft System Center 2012 Endpoint Protection

Importante 
Denial of Service

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Importante 
Denial of Service

Microsoft Malicious Software Removal Tool[1]

Importante 
Denial of Service

Microsoft Security Essentials

Importante 
Denial of Service

Versione di prova Microsoft Security Essentials

Importante 
Denial of Service

Windows Defender per Windows 8, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2

Importante 
Denial of Service

Windows Defender per Windows RT e Windows RT 8.1

Importante 
Denial of Service

Windows Defender per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2

Importante 
Denial of Service

Windows Defender Offline

Importante 
Denial of Service

Windows Intune Endpoint Protection

Importante 
Denial of Service

[1]Si applica solo alle versioni di maggio 2014 o precedenti dello Strumento di rimozione malware Microsoft.

Software non interessato

Software antimalware

Non viene eseguito Malware Protection Engine

Microsoft Forefront Server Security Management Console

Microsoft Internet Security and Acceleration (ISA) Server

La tabella di seguito fornisce una valutazione di exploitability della vulnerabilità risolta in questo advisory.

Come utilizzare questa tabella

Utilizzare questa tabella per conoscere le probabilità di rilascio di un codice di sfruttamento della vulnerabilità funzionante entro 30 giorni da questa versione di advisory. Si suggerisce di analizzare la valutazione di seguito, confrontandola con la propria configurazione specifica, al fine di stabilire la corretta priorità di distribuzione. Per ulteriori informazioni sul significato dei livelli di gravità indicati e sul modo in cui vengono definiti, vedere Microsoft Exploitability Index.

Titolo della vulnerabilità

ID CVE

Valutazione dell'Exploitability per la versione più recente del software

Valutazione dell'Exploitability per la versione meno recente del software

Valutazione dell'Exploitability relativa ad un attacco di tipo Denial of Service

Note fondamentali

Vulnerabilità ad attacchi di tipo Denial of Service in Microsoft Malware Protection Engine

CVE-2014-2779

3 - Scarsa probabilità di sfruttamento della vulnerabilità

3 - Scarsa probabilità di sfruttamento della vulnerabilità

Permanente

Si tratta di una vulnerabilità ad attacchi di tipo Denial of Service.

Lo sfruttamento di questa vulnerabilità può causare una mancata risposta permanente del sistema operativo, o di un'applicazione, finché non viene riavviato manualmente. Inoltre, può determinare la chiusura imprevista di un'applicazione senza ripristino automatico.

Microsoft ha intenzione di pubblicare un bollettino sulla sicurezza per risolvere questa vulnerabilità? 
No. Microsoft rilascia il presente advisory sulla sicurezza per informare i clienti che un aggiornamento di Microsoft Malware Protection Engine risolve anche una vulnerabilità a livello di sicurezza segnalata a Microsoft.

In genere, non è richiesta alcuna azione di installazione dell'aggiornamento da parte degli amministratori aziendali o degli utenti finali.

Perché non è richiesta alcuna azione di installazione dell'aggiornamento? 
In risposta a un ambiente di rischio in continuo mutamento, Microsoft aggiorna frequentemente le definizioni di malware e Microsoft Malware Protection Engine. Per essere efficace nella protezione da nuovi e importanti pericoli, il software antimalware deve essere sempre aggiornato in un modo tempestivo.

Per le distribuzioni aziendali come per gli utenti finali, la configurazione predefinita del software antimalware Microsoft garantisce l'aggiornamento automatico delle definizioni malware e di Microsoft Malware Protection Engine. Nella documentazione di prodotto è inoltre consigliato di configurare i prodotti in modo che vengano aggiornati automaticamente.

Le procedure consigliate suggeriscono ai clienti di verificare regolarmente se la distribuzione del software, quali la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni malware, funzioni correttamente nel proprio ambiente.

Con quale frequenza vengono aggiornati Microsoft Malware Protection Engine e le definizione malware? 
Microsoft rilascia in genere un aggiornamento per Microsoft Malware Protection Engine una volta al mese o secondo le necessità di protezione contro i nuovi pericoli. Microsoft in genere aggiorna anche le definizioni malware tre volte al giorno e può aumentare la frequenza quando necessario.

In base al software antimalware Microsoft utilizzato e alla sua configurazione, il software è in grado di ricercare aggiornamenti del motore e delle definizioni quotidianamente quando è disponibile una connessione Internet, anche più volte al giorno. I clienti possono scegliere anche di verificare manualmente la presenza aggiornamenti in qualsiasi momento.

In che modo è possibile installare gli aggiornamenti? 
Leggere la sezione Interventi consigliati per informazioni su come installare questo aggiornamento.

Che cos'è Microsoft Malware Protection Engine? 
Il modulo Microsoft Malware Protection Engine, mpengine.dll, fornisce funzionalità di ricerca, rivelamento e pulizia del software antivirus e antispyware Microsoft.

Dov'è possibile reperire ulteriori informazioni sulla tecnologia antimalware di Microsoft? 
Per ulteriori informazioni, visitare il sito Web di Microsoft Malware Protection Center.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità ad attacchi di tipo Denial of Service.

Quali sono le cause di questa vulnerabilità? 
La vulnerabilità si verifica quando Microsoft Malware Protection Engine non esegue correttamente la scansione di un file appositamente, provocando il timeout della scansione.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Un utente malintenzionato in grado di sfruttare questa vulnerabilità potrebbe impedire a Microsoft Malware Protection Engine di monitorare i sistemi interessati finché il file appositamente predisposto non viene rimosso manualmente e il servizio riavviato.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Per sfruttare questa vulnerabilità è necessario che una posizione di registro di sistema appositamente predisposta sia sottoposta a scansione da una versione interessata di Microsoft Malware Protection Engine. Un utente malintenzionato può sfruttare può collocare in diversi modi un file appositamente predisposto in una posizione sottoposta a scansione da Microsoft Malware Protection Engine. Ad esempio, un utente malintenzionato può utilizzare un sito Web per inviare un file appositamente predisposto al sistema della vittima sottoposto a scansione quando il sito Web viene visualizzato dall'utente. Un utente malintenzionato può anche inviare un file appositamente predisposto tramite un messaggio di posta elettronica o Instant Messenger sottoposti a scansione all'apertura del file. Inoltre, un utente malintenzionato può servirsi si siti Web che accettano o pubblicano contenuti forniti da utenti per caricare un file appositamente predisposto in una posizione condivisa sottoposta a scansione tramite Malware Protection Engine in esecuzione sul server host.

Se il software antimalware interessato dispone della protezione in tempo reale, Microsoft Malware Protection Engine eseguirà la scansione dei file automaticamente, portando allo sfruttamento della vulnerabilità quando il file appositamente predisposto viene sottoposto a scansione. Se la scansione in tempo reale non è attivata, 'utente malintenzionato dovrebbe attendere finché non venga eseguita la scansione pianificata per sfruttare la vulnerabilità e prendere il controllo totale del sistema interessato.

Inoltre, lo sfruttamento della vulnerabilità potrebbe verificarsi quando il sistema viene sottoposto a scansione tramite una versione interessata di MSRT (Malicious Software Removal Tool).

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi più esposti sono tutti i sistemi sui quali è in esecuzione una versione del software antimalware interessata.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Malware Protection Engine esegue la scansione dei file appositamente predisposti.

Al momento della pubblicazione di questo advisory sulla sicurezza le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo advisory sulla sicurezza, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente advisory sulla sicurezza, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

  • Verificare che l'aggiornamento sia installato

    I clienti dovrebbero verificare che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano state scaricate e installate attivamente per i propri prodotti antimalware Microsoft.

    Per ulteriori informazioni sulla verifica del numero di versione di Microsoft Malware Protection Engine utilizzata attualmente dal software, vedere la sezione relativa alla verifica dell'installazione dell'aggiornamento dell'articolo 2510781della Microsoft Knowledge Base.

    Per il software interessato, verificare che la versione di Microsoft Malware Protection Engine sia 1.1.10701.0 o superiore.

  • Se necessario, installare l'aggiornamento

    Gli amministratori delle distribuzioni antimalware aziendali devono garantire che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e delle nuove definizioni malware. Gli amministratori aziendali dovrebbero verificare anche che le versioni più recenti di Microsoft Malware Protection Engine e degli aggiornamenti delle definizioni siano scaricate attivamente, approvate ed implementate nel proprio ambiente.

    Per gli utenti finali, il software interessato fornisce meccanismi integrati per il rilevamento e la distribuzione automatici di questo aggiornamento. Per questi clienti, l'aggiornamento sarà applicato entro 48 ore della sua disponibilità. L'intervallo di tempo esatto dipende dal software utilizzato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software antimalware.

    Per ulteriori informazioni sull'aggiornamento manuale di Microsoft Malware Protection Engine e delle definizioni malware, fare riferimento all'articolo della Microsoft Knowledge Base 2510781.

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Tavis Ormandy di Google Project Zero per aver collaborato con noi allo studio della vulnerabilità ad attacchi di tipo Denial of Service in Microsoft Malware Protection Engine (CVE-2014-2779)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (17 giugno 2014): Pubblicazione dell'advisory.

Pagina generata 17-06-2014 12:01Z-07:00.
Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft