Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 2491888

Beveiligingslek in de Microsoft Malware Protection-engine kan leiden tot misbruik van bevoegdheden

Gepubliceerd: woensdag 23 februari 2011 | Bijgewerkt: dinsdag 8 maart 2011

Versie: 1.1

Algemene informatie

Samenvatting

Microsoft publiceert dit beveiligingsadvies om ervoor te zorgen dat klanten ervan op de hoogte zijn dat een update voor de Microsoft Malware Protection-engine ook een aan Microsoft gemeld beveiligingslek oplost. De update lost een privé gemeld beveiligingslek op dat kan leiden tot misbruik van bevoegdheden als de Microsoft Malware Protection-engine een systeem scant nadat een aanvaller met geldige aanmeldingsreferenties een speciale registersleutel heeft gemaakt. Een aanvaller die misbruik weet te maken van het beveiligingslek, kan dezelfde gebruikersrechten krijgen als de LocalSystem-account. Het beveiligingslek kan niet worden misbruikt door anonieme gebruikers.

Omdat de Microsoft Malware Protection-engine een onderdeel is van verschillende anti-malwareproducten van Microsoft, wordt de update voor de Microsoft Malware Protection-engine samen met de bijgewerkte malwaredefinities voor de getroffen producten geïnstalleerd. Beheerders van bedrijfinstallaties moeten hun vaste interne processen volgen om ervoor te zorgen dat de bijgewerkte definities en de update voor de engine worden goedgekeurd door hun software voor updatebeheer en dat gebruikers de updates toepassen.

Doorgaans hoeven bedrijfsbeheerders en eindgebruikers niets te doen om deze update te installeren, omdat het ingebouwde mechanisme voor automatische detectie en installatie van deze update ervoor zorgt dat de update binnen 48 uur wordt geïnstalleerd. De exacte periode is afhankelijk van de gebruikte software, de internetverbinding en de configuratie van de infrastructuur.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
CVE-verwijzing CVE-2011-0037
Laatste versie van de Microsoft Malware Protection-engine die wordt getroffen door dit beveiligingslek Versie 1.1.6502.0*
Eerste versie van de Microsoft Malware Protection-engine waarin dit beveiligingslek is opgelost Versie 1.1.6603.0**

*Deze versie is de laatste versie van de Microsoft Malware Protection-engine die door het beveiligingslek wordt getroffen.

**Als uw versie van de Microsoft Malware Protection-engine gelijk is aan of hoger is dan deze versie, wordt u niet getroffen door dit beveiligingslek en hoeft u geen verdere actie te ondernemen. Zie de sectie "De installatie van de update verifiëren" in Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het verifiëren van het versienummer van uw software.

Software waarin dit probleem optreedt en prioriteitsniveaus

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

De Microsoft Malware Protection-engine is een onderdeel van diverse anti-malwareproducten van Microsoft. Deze update heeft verschillende prioriteitsniveaus, afhankelijk van welk anti-malwareproduct van Microsoft is geïnstalleerd. Bij de volgende prioriteitsniveaus is uitgegaan van de potentiële maximale uitwerking van het beveiligingslek.

Software waarin dit probleem optreedt

Prioriteitsniveau van het beveiligingslek en maximale omvang van het beveiligingslek voor de software waarin dit probleem optreedt
Anti-malwaresoftwareBeveiligingslek in de Microsoft Malware Protection-engine - CVE-2011-0037
Windows Live Onecare Belangrijk 
Misbruik van bevoegdheden
Essentiële beveiligingsinstellingen van Microsoft Belangrijk 
Misbruik van bevoegdheden
Microsoft Windows Defender Belangrijk 
Misbruik van bevoegdheden
Microsoft Forefront Client Security Belangrijk 
Misbruik van bevoegdheden
Microsoft Forefront Endpoint Protection 2010 Belangrijk 
Misbruik van bevoegdheden
Microsoft-programma voor het verwijderen van schadelijke software[1] Belangrijk 
Misbruik van bevoegdheden

[1]Is alleen van toepassing op de versie van februari 2011 of eerdere versies van het Microsoft-programma voor het verwijderen van schadelijke software.

Software waarin dit probleem niet optreedt

Anti-malwaresoftware
Microsoft Antigen voor Exchange
Microsoft Antigen voor SMTP Gateway
Forefront Security voor Exchange Server
Forefront Protection 2010 voor Exchange Server
Forefront Threat Management Gateway 2010
Microsoft Forefront Security voor SharePoint
Forefront Security voor Office Communications Server
Microsoft Standalone System Sweeper (onderdeel van Microsoft Diagnostics and Recovery Toolset)

In de volgende tabel staat een beoordeling van het risico op misbruik van het beveiligingslek dat wordt besproken in dit advies.

Gebruik van deze tabel

Gebruik deze tabel voor meer informatie over het risico dat werkende exploitatiecode wordt gepubliceerd binnen 30 dagen na publicatie van dit advies. Bekijk deze beoordeling overeenkomstig de configuratie van uw computer(s) om de ernst van het probleem te kunnen vaststellen. Zie de exploitatie-index van Microsoft voor meer informatie over de betekenis van deze prioriteitsniveaus en hoe die worden vastgesteld.

Titel van beveiligingslekCVE-idBeoordeling van de exploitatie-indexBelangrijke opmerkingen
Beveiligingslek in de Microsoft Malware Protection-engine CVE-2011-0037 1 - Is consistente exploitatiecode waarschijnlijk?Dit beveiligingslek heeft betrekking op misbruik van bevoegdheden

Waarom is dit advies herzien op 8 maart 2011?  
Toen dit advies eerst werd vrijgegeven, was er nog geen bijgewerkte versie van het Microsoft-programma voor het verwijderen van schadelijke software (MSRT) verkrijgbaar. Microsoft heeft op dinsdag 8 maart 2011 een bijgewerkte versie van het MSRT uitgegeven die het beveiligingslek oplost. Versies van het MSRT die zijn uitgegeven op of na die datum, worden niet getroffen door het beveiligingslek dat in dit beveiligingsadvies wordt beschreven.

Waarom was er geen update voor het Microsoft-programma voor het verwijderen van schadelijke software (MSRT) verkrijgbaar toen dit beveiligingsadvies voor het eerste werd uitgegeven?  
Er kon alleen misbruik van het beveiligingslek worden gemaakt via de versie van februari 2011 of eerdere versies van het MSRT toen het MSRT werd aangeboden en kon worden gedownload via Automatische updates. Microsoft heeft op dinsdag 8 maart 2011 een bijgewerkte versie uitgegeven om het probleem in het programma voor het verwijderen van schadelijke software op te lossen. Versies van het MSRT die zijn uitgegeven op of na die datum zijn niet kwetsbaar voor het probleem dat is beschreven in dit beveiligingsadvies.

MSRT wordt slechts eenmaal uitgevoerd wanneer het wordt gedownload met Automatische updates. Een aanvaller kan geen misbruik maken van dit beveiligingslek door handmatig een kwetsbare versie van het MSRT uit te voeren.

Publiceert Microsoft een beveiligingsbulletin om dit beveiligingslek op te lossen?  
Nee. Microsoft publiceert dit beveiligingsadvies om ervoor te zorgen dat klanten ervan op de hoogte zijn dat deze update voor de Microsoft Malware Protection-engine ook een aan Microsoft gemeld beveiligingslek oplost.

Normaal hoeven bedrijfsbeheerders en eindgebruikers geen actie te ondernemen om deze update te installeren.

Waarom hoeft normaal geen actie te worden ondernomen om deze update te installeren?  
Als reactie op voortdurend nieuwe bedreigingen werkt Microsoft de malwaredefinities en de Microsoft Malware Protection-engine regelmatig bij. Om te helpen gebruikers te beschermen tegen nieuwe en bestaande bedreigingen, moet anti-malwaresoftware tijdig worden bijgewerkt met deze updates.

Voor bedrijfimplementaties en eindgebruikers helpt de standaardconfiguratie in anti-malwaresoftware van Microsoft ervoor te zorgen dat de malwaredefinities en de Microsoft Malware Protection-engine automatisch worden bijgewerkt. In de productdocumentatie krijgen klanten ook het advies hun producten te configureren voor automatische updates.

Klanten moeten regelmatig controleren of de verspreiding van software, zoals de automatische implementatie van updates voor de Microsoft Malware Protection-engine en malwaredefinities, naar behoren werkt in hun omgeving.

Hoe vaak worden de Microsoft Malware Protection-engine en malwaredefinities bijgewerkt?  
Microsoft publiceert doorgaans eens per maand of wanneer nodig een update voor de Microsoft Malware Protection-engine ter bescherming tegen nieuwe bedreigingen. Microsoft werkt de malwaredefinities doorgaans drie keer per dag bij en kan deze frequentie verhogen indien nodig.

Afhankelijk van welke anti-malwaresoftware van Microsoft wordt gebruikt en hoe deze software is geconfigureerd, kan de software elke dag, meerdere keren per dag, wanneer er een internetverbinding is zoeken naar updates voor de engine en de definities. Klanten kunnen ook te allen tijde handmatig zoeken naar updates.

Hoe kan ik de update installeren?  
Beheerders van bedrijfinstallaties moeten hun vaste interne processen volgen om ervoor te zorgen dat de bijgewerkte definities en de update voor de engine worden goedgekeurd door hun software voor updatebeheer en dat gebruikers de updates toepassen.

Bezoek het Microsoft Malware Protection Center of raadpleeg uw productdocumentatie voor meer informatie over het installeren van de nieuwste definities.

Eindgebruikers hoeven geen verdere actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd via Automatische updates of via hun anti-malwaresoftware. Raadpleeg uw productdocumentatie voor informatie over de configuratie van anti-malwaresoftware.

Eindgebruikers die deze update handmatig willen installeren, moeten de onderstaande tabel raadplegen.

Opmerking Updates die beschikbaar worden gesteld via Microsoft Update, hebben het prioriteitsniveau Belangrijk. Zoek de juiste update voor uw software met een naam die vergelijkbaar is met het voorbeeld tussen haakjes () in de tabel hieronder.

SoftwareUpdatemechanismeAndere updatemethoden
Essentiële beveiligingsinstellingen van Microsoft Microsoft Update De nieuwste updates voor definities voor Microsoft Security Essentials handmatig downloaden
Microsoft Windows Defender Windows Update De nieuwste updates voor definities voor Windows Defender installeren
Microsoft Forefront Client Security Microsoft Update De nieuwste updates voor definities voor Microsoft Forefront Security installeren
Microsoft Forefront Endpoint Protection 2010 Microsoft Update
(Voorbeeld: "Update voor definities voor Microsoft Forefront Eindpunt Beveiliging 2010")
De nieuwste updates voor definities voor Microsoft Forefront Security installeren
Programma voor het verwijderen van schadelijke software van Microsoft Windows Update Programma voor het verwijderen van schadelijke software

Opmerking Raadpleeg Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het gebruik van deze update voor specifieke anti-malwareproducten van Microsoft.

Wat is de Microsoft Malware Protection-engine?  
De Microsoft Malware Protection-engine, mpengine.dll, biedt scan-, opsporings- en verwijderingsfuncties voor antivirus- en antispywaresoftware van Microsoft. Zie de sectie Implementatie van de Microsoft Malware Protection-engine verderop in dit advies voor meer informatie.

Waar kan ik meer informatie over anti-malwaretechnologie van Microsoft vinden?  
Bezoek de website van het Microsoft Malware Protection Center voor meer informatie.

Waarom staat ISA Server niet in de lijst met software waarin dit probleem optreedt of de lijst met software waarin dit probleem niet optreedt?  
Omdat Microsoft Internet Security and Acceleration (ISA) Server de voorganger is van Forefront Threat Management Gateway 2010 (TMG), bevat ISA Server de Microsoft Malware Protection-engine niet en komt ISA Server dus niet aan bod in dit advies. Het zoeken naar malware met de Microsoft Malware Protection-engine werd geïntroduceerd in Forefront TMG. Zie de pagina What's New voor Forefront Threat Management Gateway 2010 voor meer informatie over nieuwe functies in Forefront TMG.

Wat is de omvang van het beveiligingslek?  
Dit beveiligingslek heeft betrekking op misbruik van bevoegdheden. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren in de LocalSystem-account. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Waardoor wordt het beveiligingslek veroorzaakt?  
Het beveiligingslek wordt veroorzaakt wanneer de Microsoft Malware Protection-engine er niet in slaagt een registersleutel te verwerken die een aanvaller op een speciale waarde heeft ingesteld.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?  
Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren in de beveiligingscontext van de LocalSystem-account en de volledige controle over het systeem krijgen. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Wat is de LocalSystem-account?  
De LocalSystem-account is een voorgedefinieerde lokale account die wordt gebruikt door de Service Control Manager. De account heeft uitgebreide bevoegdheden op de lokale computer en fungeert als de computer op het netwerk. Het LocalSystem-token bevat de SID's NT AUTHORITY\SYSTEM en BUILTIN\Administrators; deze accounts hebben toegang tot de meeste systeemobjecten. Een service die wordt uitgevoerd in de context van de LocalSystem-account neemt de beveiligingscontext van de Service Control Manager over. Voor de meeste services hoeft het bevoegdheidsniveau niet zo hoog te zijn. Zie het MSDN-artikel LocalSystem Account voor meer informatie.

Hoe kan een aanvaller dit beveiligingslek misbruiken?  
Voor dit beveiligingslek moet een speciaal vervaardigde registersleutellocatie worden gescand door een getroffen versie van de Microsoft Malware Protection-engine. Om misbruik te kunnen maken van dit beveiligingslek moet een aanvaller zich eerst aanmelden op het systeem en vervolgens een registersleutel van de gebruiker instellen op een speciale waarde.

Als voor de getroffen anti-malwaresoftware real-time bescherming is ingeschakeld, scant de Microsoft Malware Protection-engine de locatie automatisch. Dit leidt tot misbruik van het beveiligingslek en stelt de aanvaller in staat de volledige controle over het getroffen systeem te krijgen. Als real-time bescherming niet is ingeschakeld, moet de aanvaller wachten tot een geplande scan wordt uitgevoerd om misbruik te kunnen maken van het beveiligingslek en de volledige controle over het getroffen systeem te kunnen krijgen. Een aanvaller kan geen misbruik maken van het beveiligingslek door handmatig een scan te starten.

Daarnaast kan een aanvaller misbruik maken van het beveiligingslek wanneer het systeem wordt gescand met een getroffen versie van het programma voor het verwijderen van schadelijke software (MSRT). Als de huidige versie van het MSRT echter al is uitgevoerd op het systeem, kan een aanvaller geen gebruik maken van het MSRT om misbruik te maken van dit beveiligingslek.

Voor welke systemen vormt dit beveiligingslek het grootste risico?  
Voor werkstations en terminalservers is het risico het grootst. Servers lopen een groter risico als gebruikers die niet over voldoende beheerdersmachtigingen beschikken de mogelijkheid krijgen om zich bij servers aan te melden en programma's uit te voeren. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Wat doet de update?  
De update lost het beveiligingslek op door de manier te verbeteren waarop de Microsoft Malware Protection-engine waarden verwerkt die uit het register worden gelezen.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsadvies werd uitgegeven?  
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsadvies werd uitgegeven?  
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsadvies oorspronkelijk werd uitgegeven.

Beperkende factoren

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van dit probleem kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

  • Een aanvaller moet geldige aanmeldingsreferenties hebben om dit beveiligingslek te kunnen misbruiken. Het beveiligingslek kan niet worden misbruikt door anonieme gebruikers.
  • Een aanvaller had de versie van februari 2011 of eerdere versie van het programma voor het verwijderen van schadelijke software (MSRT) alleen kunnen gebruiken om misbruik te maken van dit beveiligingslek te maken als die versie van het MSRT nog niet op het systeem was uitgevoerd. Toen dit advies voor het eerst werd uitgegeven, was de versie van februari 2011 van het MSRT voor de meeste eindgebruikers al automatisch gedownload en uitgevoerd via Automatische updates. Microsoft heeft op dinsdag 8 maart 2011 een bijgewerkte versie uitgegeven om het probleem in het programma voor het verwijderen van schadelijke software op te lossen. Versies van het MSRT die zijn uitgegeven op of na die datum zijn niet kwetsbaar voor het probleem dat is beschreven in dit beveiligingsadvies.

Voorgestelde acties

Normaal hoeven bedrijfsbeheerders en eindgebruikers geen actie te ondernemen om deze update te installeren. Microsoft raadt klanten aan de malwaredefinities altijd actueel te houden. Klanten moeten controleren of de nieuwste versie van de updates voor de Microsoft Malware Protection-engine en definities actief wordt gedownload en geïnstalleerd voor hun anti-malwareproducten van Microsoft.

Beheerders van bedrijfsimplementaties tegen malware moeten controleren of hun software voor updatebeheer is geconfigureerd voor automatische goedkeuring en verspreiding van updates voor de engine en nieuwe malwaredefinities. Bedrijfsbeheerders moeten ook controleren of de nieuwste versie van de updates voor de Microsoft Malware Protection-engine en definities actief wordt gedownload, goedgekeurd en toegepast in hun omgeving.

Voor eindgebruikers geldt dat de software waarin dit probleem optreedt, is voorzien van een functie waarmee deze update automatisch wordt gedetecteerd en geïmplementeerd. Bij deze klanten zal de update binnen 48 uur na publicatie worden toegepast. De exacte periode is afhankelijk van de gebruikte software, de internetverbinding en de configuratie van de infrastructuur. Eindgebruikers die niet willen wachten, kunnen hun anti-malwaresoftware handmatig bijwerken.

Raadpleeg Microsoft Knowledge Base-artikel 2510781 of raadpleeg de sectie Veelgestelde vragen over dit advies voor meer informatie over het handmatig bijwerken van de Microsoft Malware Protection-engine en malwaredefinities.

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Cesar Cerrudo van Argeniss voor het melden van het beveiligingslek met betrekking tot de Microsoft Malware Protection-engine (CVE-2011-0037)

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (23 februari 2011): Advies gepubliceerd.
  • V1.1 (8 maart 2011): De veelgestelde vragen voor dit advies zijn herzien om een bijgewerkte versie van het MSRT aan te kondigen, en Forefront Security for Exchange Server is toegevoegd aan de lijst van software waarin het probleem niet optreedt.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft