Microsofts sikkerhetsveiledning 2491888
Sikkerhetsproblem i Microsofts motor for beskyttelse mot skadelig programvare kan tillate rettighetsutvidelse
Publisert: 23. februar 2011 | Oppdatert: 8. mars 2011
Versjon: 1.1
Generell informasjon
Kortfattet sammendrag
Microsoft utgir denne sikkerhetsveiledningen for å bidra til å sikre at kunder er oppmerksomme på en oppdatering av Microsofts beskyttelsesmotor mot skadelig programvare, og løser også et sikkerhetsproblem som er rapportert til Microsoft. Oppdateringen løser et personlig rapportert sikkerhetsproblem som kan tillate rettighetsutvidelse hvis Microsofts beskyttelsesmotor mot skadelig programvare skanner et system etter at en angriper med gyldig påloggingsinformasjon har opprettet en spesiallaget registernøkkel. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som kontoen LocalSystem. Sikkerhetsproblemet kan ikke utnyttes av anonyme brukere.
Microsofts beskyttelsesmotor mot skadelig programvare er en del av flere Microsoft-produkter for beskyttelse mot skadelig programvare, og oppdateringen for Microsofts beskyttelsesmotor mot skadelig programvare installeres sammen med de oppdaterte definisjonene av skadelig programvare for de berørte produktene. Administratorer av bedriftsinstallasjoner bør følge sine etablerte interne fremgangsmåter for å sikre at oppdateringene av motor og definisjoner godkjennes i programmet for oppdateringsbehandling, og at klienter tar i bruk oppdateringene.
Som regel trenger ikke administratorer i bedrifter eller sluttbrukere å gjøre noe for å installere denne oppdateringen fordi den innebygde mekanismen for automatisk gjenkjenning og distribusjon av denne oppdateringen vil ta i bruk oppdateringen innen 48 timer. Det eksakte tidsrommet er avhengig av programvaren som brukes, Internett-tilkoblingen og konfigurasjonen av infrastruktur.
Detaljer om veiledningen
Referanser til sikkerhetsproblemet
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:
| Referanser | Identifisering |
|---|---|
| CVE-referanse | CVE-2011-0037 |
| Siste versjon av Microsofts beskyttelsesmotor mot skadelig programvare som er berørt av dette problemet | Versjon: 1.1.6502.0* |
| Første versjon av Microsofts beskyttelsesmotor mot skadelig programvare som er berørt av dette problemet | Versjon: 1.1.6603.0** |
*Dette er den siste versjonen av Microsofts beskyttelsesmotor mot skadelig programvare som er berørt av dette problemet.
**Hvis versjonen av Microsofts beskyttelsesmotor mot skadelig programvare er den samme som eller nyere enn dette versjonsnummeret, berøres du ikke av dette sikkerhetsproblemet og trenger ikke å foreta deg noe mer. Hvis du vil ha mer informasjon om hvordan du finner ut hvilket motorversjonsnummer programvaren din bruker, kan du se Microsoft Knowledge Base-artikkel 2510781.
Berørt programvare og alvorlighetsgrader
Følgende programvare er testet for å finne ut hvilke versjoner som berøres. Andre versjoner eller utgaver har enten nådd slutten av kundestøttesyklusen eller berøres ikke. Se Microsoft Support Lifecycle for å finne kundestøttesyklusen for produktet og versjonen du bruker.
Microsofts beskyttelsesmotor mot skadelig programvare er en del av flere Microsoft-produkter for beskyttelse mot skadelig programvare. Avhengig av hvilket berørt Microsoft-produkt for beskyttelse mot skadelig programvare som er installert, kan denne sikkerhetsoppdateringen ha ulike alvorlighetsgrader. De følgende alvorlighetsgradene antar den potensielle maksimale påvirkningen til sikkerhetsproblemet.
Berørt programvare
| Beskyttelsesprogrammer mot skadelig programvare | Sikkerhetsproblem i Microsofts beskyttelsesmotor mot skadelig programvare – CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Viktig Rettighetsutvidelse |
| Microsoft Security Essentials | Viktig Rettighetsutvidelse |
| Microsoft Windows Defender | Viktig Rettighetsutvidelse |
| Microsoft Forefront Client Security | Viktig Rettighetsutvidelse |
| Microsoft Forefront Endpoint Protection 2010 | Viktig Rettighetsutvidelse |
| Microsofts verktøy for fjerning av skadelig programvare[1] | Viktig Rettighetsutvidelse |
[1]Gjelder bare februar 2011 eller eldre versjoner av Microsofts verktøy for fjerning av skadelig programvare.
Uberørt programvare
| Beskyttelsesprogrammer mot skadelig programvare |
|---|
| Microsoft Antigen for Exchange |
| Microsoft Antigen for SMTP Gateway |
| Forefront Security for Exchange Server |
| Forefront Protection 2010 for Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security for SharePoint |
| Forefront Security for Office Communications Server |
| Microsoft Standalone System Sweeper (del av Microsoft Diagnostics and Recovery Toolset) |
Utnyttelsesindeks
Følgende tabell gir en utnyttelsesvurdering av sikkerhetsproblemet som løses i denne veiledningen.
Hvordan bruker jeg denne tabellen?
Bruk denne tabellen til å få mer informasjon om sannsynligheten for at fungerende skadelig kode blir utgitt innen 30 dager etter at denne veiledningen utgis. Du bør se gjennom vurderingen nedenfor, i henhold til din bestemte konfigurasjon, for å prioritere distribusjonen. Hvis du vil ha mer informasjon om hva disse vurderingene betyr, kan du se Microsoft Exploitability Index.
| Tittel på sikkerhetsproblem | CVE-ID | Utnyttelsesindeksvurdering | Viktige merknader |
|---|---|---|---|
| Sikkerhetsproblem i Microsofts beskyttelsesmotor mot skadelig programvare | CVE-2011-0037 | 1 – Konsekvent skadelig kode er sannsynlig | Dette er et sikkerhetsproblem som omfatter rettighetsutvidelse |
Vanlige spørsmål om denne sikkerhetsoppdateringen
Hvorfor ble denne veiledningen revidert den 8. mars 2011?
Da denne veiledningen ble publisert første gang, var ikke noen oppdatert versjon av verktøyet for fjerning av skadelig programvare (MSRT) tilgjengelig. Microsoft publiserte en oppdatert versjon av MSRT på tirsdag 8. mars 2011 som løser sikkerhetsproblemet. Versjoner av MSRT som er utgitt på eller etter denne datoen, er ikke berørt av sikkerhetsproblemet som beskrives i denne veiledningen.
Hvorfor var det ikke noen tilgjengelig oppdatering for verktøyet for fjerning av skadelig programvare (MSRT) da denne veiledningen ble publisert første gang?
Sikkerhetsproblemet kunne bare utnyttes via versjoner fra februar 2011 eller tidligere av MSRT når MSRT ble tilbudt og lastet ned via automatiske oppdateringer. Microsoft publiserte en oppdatert versjon av MSRT på tirsdag 8. mars 2011 som løser sikkerhetsproblemet. Versjoner av MSRT som er utgitt på eller etter denne datoen, er ikke berørt av sikkerhetsproblemet som beskrives i denne veiledningen.
MSRT kjøres bare én gang når det lastes ned via automatiske oppdateringer. En angriper kan ikke utnytte dette sikkerhetsproblemet ved å kjøre en berørt versjon av MSRT manuelt.
Vil Microsoft utgi en sikkerhetsbulletin for å løse dette sikkerhetsproblemet?
Nei. Microsoft utgir denne sikkerhetsveiledningen for å bidra til å sikre at kunder er oppmerksomme på denne oppdatering av Microsofts beskyttelsesmotor mot skadelig programvare også løser også et sikkerhetsproblem som er rapportert til Microsoft.
Som regel trenger ikke administratorer i bedrifter eller sluttbrukere å gjøre noe for å installere denne oppdateringen.
Hvorfor er det som regel ikke nødvendig å gjøre noe for å installere denne oppdateringen?
Microsoft oppdaterer ofte definisjonene av skadelig programvare og Microsofts beskyttelsesmotor mot skadelig programvare. Beskyttelsesprogrammer mot skadelig programvare må holdes oppdatert for å kunne bidra til å beskytte mot nye og eksisterende trusler på en effektiv måte.
Både for bediftsdistribusjon og sluttbrukere bidrar standardkonfigurasjonen av Microsofts beskyttelsesprogrammer mot skadelig programvare til å sikre at definisjonene av skadelig programvare og Microsofts beskyttelsesmotor mot skadelig programvare automatisk holdes oppdatert. Produktdokumentasjonen anbefaler også at produktene konfigureres for automatisk oppdatering.
I henhold til gode fremgangsmåter bør kundene jevnlig kontrollere om programvaredistribusjon, for eksempel automatisk distribusjon av Microsofts beskyttelsesmotor mot skadelig programvare og definisjonsoppdateringene, fungerer som forventet i sine omgivelser.
Hvor ofte oppdateres Microsofts beskyttelsesmotor mot skadelig programvare og definisjonene av skadelig programvare?
Microsoft utgir som oftest en oppdatering for Microsofts beskyttelsesmotor mot skadelig programvare én gang i måneden eller etter behov for å beskytte mot nye trusler. Microsoft oppdaterer også som regel definisjonene av skadelig programvare tre ganger daglig, og oftere hvis det er nødvendig.
Avhengig av hvilket av Microsofts beskyttelsesprogrammer mot skadelig programvare som brukes og hvordan det er konfigurert, kan programmet søke daglig etter oppdateringer av motor og definisjoner ved tilkobling til Internett, opptil flere ganger daglig. Kundene kan også velge å søke manuelt etter oppdateringer når som helst.
Hvordan kan jeg installere oppdateringen?
Administratorer av bedriftsinstallasjoner bør følge sine etablerte interne fremgangsmåter for å sikre at oppdateringene av motor og definisjoner godkjennes i programmet for oppdateringsbehandling, og at klienter tar i bruk oppdateringene.
Hvis du vil ha mer informasjon om å installere de siste definisjonene, går du til Microsoft Malware Protection Center eller leser produktdokumentasjonen.
For sluttbrukere er det ikke nødvendig å gjøre noe fordi denne sikkerhetsoppdateringen lastes ned og installeres automatisk via automatiske oppdateringer eller beskyttelsesprogrammene mot skadelig programvare. Hvis du vil ha mer informasjon om hvordan du konfigurerer beskyttelsesprogrammer mot skadelig programvare, kan du se produktdokumentasjonen.
Sluttbrukere som vil installere denne oppdateringen manuelt, kan se den følgende tabellen.
Obs! Oppdateringer som er tilgjengelige via Microsoft Update, vil være angitt som Viktig. Se etter riktig oppdatering for ditt program, med et navn som ligner eksempelet i parentes () i tabellen nedenfor.
| Programvare | Oppdateringsmekanisme | Andre oppdateringsmetoder |
|---|---|---|
| Microsoft Security Essentials | Microsoft Update | Slik laster du ned de siste definisjonsoppdateringene manuelt for Microsoft Security Essentials |
| Microsoft Windows Defender | Windows Update | Slik laster du ned de siste definisjonsoppdateringene manuelt for Windows Defender |
| Microsoft Forefront Client Security | Microsoft Update | Slik laster du ned de siste definisjonsoppdateringene manuelt for Microsoft Forefront Security |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update (Eksempel: Definition Update for Microsoft Forefront Endpoint Protection 2010) |
Slik laster du ned de siste definisjonsoppdateringene manuelt for Microsoft Forefront Security |
| Microsofts verktøy for fjerning av skadelig programvare | Windows Update | Verktøy for fjerning av skadelig programvare |
Obs! Hvis du vil ha mer informasjon om distribusjon av denne oppdateringen for spesifikke Microsoft-produkter for beskyttelse mot skadelig programvare, kan du se Microsoft Knowledge Base-artikkel 2510781.
Hva er Microsofts beskyttelsesmotor mot skadelig programvare?
Microsofts beskyttelsesmotor mot skadelig programvare, mpengine.dll, inneholder søke-, oppdage- og rensefunksjonene for følgende antivirus- og antispionprogramvare fra Microsoft. Hvis du vil ha mer informasjon, kan du se Distribusjon av Microsofts beskyttelsesmotor mot skadelig programvare lenger ned i denne veiledningen.
Hvor kan jeg finne mer informasjon om Microsoft-teknologi for beskyttelse mot skadelig programvare?
Du finner mer informasjon på webområdet Microsoft Malware Protection Center.
Hvorfor er ikke ISA Server oppført i listen over berørt og uberørt programvare?
Selv om Microsoft Internet Security and Acceleration (ISA) Server er forløperen til Forefront Threat Management Gateway 2010 (TMG), inneholder ikke ISA Server Microsofts beskyttelsesmotor mot skadelig programvare, og er derfor ikke berørt av denne veiledningen. Skanning av skadelig programvare med Microsofts beskyttelsesmotor mot skadelig programvare ble først introdusert i Forefront TMG. Hvis du vil ha mer informasjon om nye funksjoner i Forefront TMG , kan du se siden What's New for Forefront Threat Management Gateway 2010.
Vanlige spørsmål om sikkerhetsproblemet i Microsofts beskyttelsesmotor mot skadelig programvare – CVE-2011-0037
Hva er omfanget av sikkerhetsproblemet?
Det er et sikkerhetsproblem som omfatter rettighetsutvidelse. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan kjøre vilkårlig kode i sikkerhetsomgivelsene til LocalSystem-kontoen. En angriper kan deretter installere programmer, vise, endre eller slette data, eller opprette nye kontoer med fullstendige brukerrettigheter.
Hva forårsaker sikkerhetsproblemet?
Sikkerhetsproblemet oppstår når Microsofts beskyttelsesmotor mot skadelig programvare ikke behandler en registernøkkel som en angriper har angitt til en spesialverdi.
Hvordan kan en angriper utnytte dette sikkerhetsproblemet?
En angriper som klarer å utnytte dette sikkerhetsproblemet, kan kjøre vilkårlig kode i sikkerhetskontekstene til LocalSystem-kontoen og ta fullstendig kontroll over systemet. En angriper kan deretter installere programmer, vise, endre eller slette data, eller opprette nye kontoer med fullstendige brukerrettigheter.
Hva er LocalSystem-kontoen?
LocalSystem-kontoen er en forhåndsdefinert lokal konto som brukes av tjenestekontrollbehandlingen. Den har omfattende tillatelser på den lokale datamaskinen og fungerer som datamaskinen i nettverket. Tokenet omfatter SID-ene NT AUTHORITY\SYSTEM og BUILTIN\Administrators, og disse kontoene har tilgang til de fleste systemobjekter. En tjeneste som kjører i konteksten til LocalSystem-kontoen, arver sikkerhetskonteksten til tjenestekontrollbehandlingen. De fleste tjenester krever ikke et så høyt tillatelsesnivå. Hvis du vil ha mer informasjon, kan du se MSDN-artikkelen LocalSystem Account.
Hvordan kan en angriper utnytte sikkerhetsproblemet?
Dette sikkerhetsproblemet krever at en spesiallaget registerplassering skannes av en berørt versjon av Microsofts beskyttelsesmotor mot skadelig programvare. For at en angriper skal kunne utnytte dette sikkerhetsproblemet, må han eller hun logge seg på systemet og angi en brukerregisternøkkel til en spesiallaget verdi.
Hvis det berørte beskyttelsesprogrammet mot skadelig programvare har sanntidsbeskyttelse aktivert, vil Microsofts beskyttelsesmotor mot skadelig programvare automatisk skanne plasseringen, og da utnyttes sikkerhetsproblemet slik at angriperen kan ta fullstendig kontroll over det berørte systemet. Hvis sanntidsbeskyttelse ikke er aktivert, må angriperen vente til en planlagt skanning før sikkerhetsproblemet kan utnyttes og det er mulig å få full kontroll over det berørte systemet. En angriper kan ikke utnytte sikkerhetsproblemet ved å starte en skanning manuelt.
I tillegg er det mulig å utnytte sikkerhetsproblemet når systemet skannes ved hjelp av en berørt versjon av verktøyet for fjerning av skadelig programvare (MSRT). Hvis den gjeldende versjonen av MSRT allerede har kjørt på systemet, kan en angriper imidlertid ikke bruke MSRT til å utnytte dette sikkerhetsproblemet.
Hvilke systemer er hovedsakelig i faresonen på grunn av sikkerhetsproblemet?
Arbeidsstasjoner og terminalservere er hovedsakelig i faresonen. Servere er mer utsatt hvis brukere som ikke har tilstrekkelig administrativ legitimasjon, får muligheten til å logge på servere og kjøre programmer. Det frarådes imidlertid sterkt at dette tillates.
Hva gjør oppdateringen?
Oppdateringen løser sikkerhetsproblemet ved å endre måten som Microsofts beskyttelsesmotor mot skadelig programvare behandler verdier som leses fra registeret, på.
Hadde dette sikkerhetsproblemet blitt offentliggjort da denne sikkerhetsveiledningen ble publisert?
Nei. Microsoft mottok informasjon om dette sikkerhetsproblemet gjennom koordinert tilgjengeliggjøring av sikkerhetsproblem.
Hadde Microsoft mottatt rapporter om at dette sikkerhetsproblemet ble utnyttet da denne sikkerhetsveiledningen ble publisert?
Nei. Microsoft hadde ikke mottatt informasjon som tydet på at dette sikkerhetsproblemet hadde blitt brukt offentlig, da denne sikkerhetsveiledningen opprinnelig ble publisert.
Begrensende faktorer og forslag til tiltak
Begrensende faktorer
Begrensning viser til en innstilling, vanlig konfigurering eller generell god fremgangsmåte som finnes i standardtilstanden, og kan redusere alvorlighetsgraden til dette sikkerhetsproblemet. Følgende begrensende faktorer kan være nyttige i din situasjon:
- En angriper må ha gyldig påloggingsinformasjon for å kunne utnytte sikkerhetsproblemet. Sikkerhetsproblemet kan ikke utnyttes av anonyme brukere.
- En angriper kunne ha brukt versjoner fra februar 2011 eller tidligere av verktøyet for fjerning av skadelig programvare (MSRT) til å utnytte dette sikkerhetsproblemet hvis den versjonen av MSRT ikke allerede hadde kjørt på systemet. For de fleste sluttbrukere hadd versjonen fra februar 2011 av MSRT allerede blitt lastet ned og kjørt automatisk via automatiske oppdateringer da denne veiledningen ble publisert første gang. Microsoft publiserte en oppdatert versjon av MSRT på tirsdag 8. mars 2011 som løser sikkerhetsproblemet. Versjoner av MSRT som er utgitt på eller etter denne datoen, er ikke berørt av sikkerhetsproblemet som beskrives i denne veiledningen.
Forslag til tiltak
Som regel trenger ikke administratorer i bedrifter eller sluttbrukere å gjøre noe for å installere denne oppdateringen. Microsoft anbefaler at kundene alltid bruker oppdaterte definisjoner av skadelig programvare. Kundene bør kontrollere at den siste versjonen av Microsofts beskyttelsesmotor mot skadelig programvare og definisjonsoppdateringene lastes ned og installeres for Microsoft-produktene for beskyttelse mot skadelig programvare.
Administratorer av bedriftsdistribusjon av beskyttelse mot skadelig programvare bør sørge for at programvaren for oppdateringsbehandling er konfigurert slik at den automatisk godkjenner og distribuerer motoroppdateringer og nye definisjoner av skadelig programvare. Bedriftsadministratorer bør også kontrollere at den siste versjonen av Microsofts beskyttelsesmotor mot skadelig programvare og definisjonsoppdateringene lastes ned, godkjennes og installeres i sine omgivelser.
For sluttbrukere har den berørte programvaren innebygde mekanismer for automatisk gjenkjenning og distribusjon av denne oppdateringen. For disse kundene vil oppdateringen bli tatt i bruk innen 48 timer etter at den blir tilgjengelig. Det eksakte tidsrommet er avhengig av programvaren som brukes, Internett-tilkoblingen og konfigurasjonen av infrastruktur. Sluttbrukere som ikke vil vente, kan oppdatere beskyttelsesprogrammer mot skadelig programvare manuelt.
Hvis du vil ha mer informasjon om hvordan du oppdaterer Microsofts beskyttelsesmotor mot skadelig programvare og definisjonene av skadelig programvare manuelt, kan du se Microsoft Knowledge Base-artikkel 2510781 eller delen Vanlige spørsmål om denne sikkerhetsoppdateringen.
Annen informasjon
Takk til
Microsoft takker følgende for samarbeidet med å beskytte kundene:
- Cesar Cerrudo hos Argeniss for rapporten om sikkerhetsproblemet i Microsofts beskyttelsesmotor mot skadelig programvare (CVE-2011-0037)
Microsoft Active Protections Program (MAPP)
For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).
Tilbakemelding
- Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.
Kundestøtte
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner
- V1.0 (23. februar 2011): Veiledning publisert.
- V1.1 (8. mars 2011): Revidert vanlige spørsmål om veiledningen for å kunngjøre den oppdaterte versjonen av MSRT og lagt til Forefront Security for Exchange Server på listen over ikke-berørt programvare.
Built at 2014-04-18T01:50:00Z-07:00