Beveiligingsadvies
Microsoft Security Advisory 2491888
Beveiligingsprobleem in de Microsoft Malware Protection-engine kan uitbreiding van bevoegdheden toestaan
Gepubliceerd: 23 februari 2011 | Bijgewerkt: 08 maart 2011
Versie: 1.1
Algemene gegevens
Samenvatting
Microsoft brengt dit beveiligingsadvies uit om ervoor te zorgen dat klanten zich ervan bewust zijn dat een update van de Microsoft Malware Protection Engine ook een beveiligingsprobleem aanpakt dat aan Microsoft wordt gerapporteerd. Met de update wordt een beveiligingsprobleem opgelost dat onrechtmatige uitbreiding van bevoegdheden mogelijk maakt als de Microsoft Malware Protection Engine een systeem scant nadat een aanvaller met geldige aanmeldingsreferenties een speciaal gemaakte registersleutel heeft gemaakt. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan dezelfde gebruikersrechten krijgen als het LocalSystem-account. Het beveiligingsprobleem kan niet worden misbruikt door anonieme gebruikers.
Omdat de Microsoft Malware Protection Engine deel uitmaakt van verschillende Microsoft-antimalwareproducten, wordt de update naar de Microsoft Malware Protection Engine geïnstalleerd, samen met de bijgewerkte malwaredefinities voor de betrokken producten. Beheer istrators van bedrijfsinstallaties moeten de vastgestelde interne processen volgen om ervoor te zorgen dat de definitie- en engine-updates worden goedgekeurd in hun updatebeheersoftware en dat clients de updates dienovereenkomstig gebruiken.
Normaal gesproken is er geen actie vereist voor ondernemingsbeheerders of eindgebruikers om deze update te installeren, omdat het ingebouwde mechanisme voor automatische detectie en implementatie van deze update de update binnen de komende 48 uur toepast. Het exacte tijdsbestek is afhankelijk van de gebruikte software, internetverbinding en infrastructuurconfiguratie.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| CVE-verwijzing | CVE-2011-0037 |
| Laatste versie van de Microsoft Malware Protection Engine die wordt beïnvloed door dit beveiligingsprobleem | Versie 1.1.6502.0* |
| Eerste versie van de Microsoft Malware Protection Engine met dit beveiligingsprobleem opgelost | Versie 1.1.6603.0** |
*Deze versie is de laatste versie van de Microsoft Malware Protection Engine die wordt beïnvloed door het beveiligingsprobleem.
**Als uw versie van de Microsoft Malware Protection Engine gelijk is aan of groter is dan deze versie, wordt dit beveiligingsprobleem niet beïnvloed en hoeft u geen verdere actie te ondernemen. Zie de sectie 'Installatie van update controleren' in het Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het controleren van het versienummer van de engine dat uw software momenteel gebruikt.
Beïnvloede software- en ernstclassificaties
De volgende software is getest om te bepalen welke versies of edities worden beïnvloed. Andere versies of edities zijn na de levenscyclus van de ondersteuning of worden niet beïnvloed. Ga naar Microsoft Ondersteuning Lifecycle om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
De Microsoft Malware Protection Engine maakt deel uit van verschillende Microsoft-antimalwareproducten. Afhankelijk van het getroffen Microsoft-antimalwareproduct is geïnstalleerd, kan deze update verschillende ernstclassificaties hebben. Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem.
Betrokken software
| Antimalwaresoftware | Beveiligingsprobleem met Microsoft Malware Protection Engine - CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Belangrijk \ Uitbreiding van bevoegdheden |
| Microsoft Security Essentials | Belangrijk \ Uitbreiding van bevoegdheden |
| Microsoft Windows Defender | Belangrijk \ Uitbreiding van bevoegdheden |
| Microsoft Forefront Client Security | Belangrijk \ Uitbreiding van bevoegdheden |
| Microsoft Forefront Endpoint Protection 2010 | Belangrijk \ Uitbreiding van bevoegdheden |
| Microsoft Malicious Software Removal Tool[1] | Belangrijk \ Uitbreiding van bevoegdheden |
[1]Is alleen van toepassing op februari 2011 of eerdere versies van het Microsoft-hulpprogramma voor het verwijderen van schadelijke software.
Niet-beïnvloede software
| Antimalwaresoftware |
|---|
| Microsoft Antigen voor Exchange |
| Microsoft Antigen voor SMTP-gateway |
| Forefront Security for Exchange Server |
| Forefront Protection 2010 voor Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security voor SharePoint |
| Forefront Security for Office Communications Server |
| Microsoft Standalone System Sweeper (onderdeel van microsoft Diagnostics and Recovery Toolset) |
Exploitability Index
De volgende tabel bevat een evaluatie van misbruik van het beveiligingsprobleem dat in dit advies is aangepakt.
Hoe kan ik deze tabel gebruiken?
Gebruik deze tabel voor meer informatie over de kans dat de werking van exploit-code binnen 30 dagen na deze adviesrelease wordt uitgebracht. Bekijk de onderstaande evaluatie, in overeenstemming met uw specifieke configuratie, om prioriteit te geven aan uw implementatie. Zie Microsoft Exploitability Index voor meer informatie over wat deze classificaties betekenen en hoe deze worden bepaald.
| Titel van beveiligingsprobleem | CVE-id | Evaluatie van exploitabiliteitsindex | Belangrijke notities |
|---|---|---|---|
| Beveiligingsprobleem met microsoft-malwarebeveiligingsengine | CVE-2011-0037 | 1 - Consistente exploit-code waarschijnlijk | Dit is een beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden |
Veelgestelde vragen (FAQ) over dit advies
Waarom is dit advies op 8 maart 2011 herzien?
Toen dit advies voor het eerst werd uitgebracht, was er geen bijgewerkte versie van het hulpprogramma voor het verwijderen van schadelijke software (MSRT) beschikbaar. Microsoft heeft op dinsdag 8 maart 2011 een bijgewerkte versie van MSRT uitgebracht waarmee het beveiligingsprobleem wordt opgelost. Versies van de MSRT die op of na die datum zijn uitgebracht, worden niet beïnvloed door het beveiligingsprobleem dat in dit beveiligingsadvies wordt beschreven.
Waarom was er geen update beschikbaar voor het hulpprogramma voor het verwijderen van schadelijke software (MSRT) toen dit beveiligingsadvies voor het eerst werd uitgebracht?
Het beveiligingsprobleem kan alleen worden misbruikt via februari 2011 of eerdere versies van de MSRT toen de MSRT in eerste instantie werd aangeboden en gedownload met automatische updates. Microsoft heeft een bijgewerkte versie uitgebracht om het probleem op te lossen in het hulpprogramma voor het verwijderen van schadelijke software op dinsdag 8 maart 2011. Versies van de MSRT die op of na die datum zijn uitgebracht, zijn niet kwetsbaar voor het probleem dat in dit beveiligingsadvies wordt beschreven.
MSRT wordt slechts eenmaal uitgevoerd wanneer deze wordt gedownload met automatische updates. Een aanvaller kan dit beveiligingsprobleem niet misbruiken door handmatig een kwetsbare versie van MSRT uit te voeren.
Brengt Microsoft een beveiligingsbulletin uit om dit beveiligingsprobleem op te lossen?
Nee Microsoft brengt dit informatieve beveiligingsadvies uit om ervoor te zorgen dat klanten zich ervan bewust zijn dat deze update van de Microsoft Malware Protection Engine ook betrekking heeft op een beveiligingsprobleem dat is gerapporteerd aan Microsoft.
Normaal gesproken is er geen actie vereist voor ondernemingsbeheerders of eindgebruikers om deze update te installeren.
Waarom is doorgaans geen actie vereist om deze update te installeren?
In reactie op een voortdurend veranderend bedreigingslandschap werkt Microsoft regelmatig malwaredefinities en de Microsoft Malware Protection Engine bij. Om effectief te zijn bij het beschermen tegen nieuwe en gangbare bedreigingen, moet antimalwaresoftware tijdig up-to-date blijven met deze updates.
Voor bedrijfsimplementaties en eindgebruikers zorgt de standaardconfiguratie in Microsoft-antimalwaresoftware ervoor dat malwaredefinities en de Microsoft Malware Protection Engine automatisch up-to-date blijven. Productdocumentatie raadt ook aan dat producten zijn geconfigureerd voor automatisch bijwerken.
Aanbevolen procedures raden klanten aan regelmatig te controleren of softwaredistributie, zoals de automatische implementatie van updates en malwaredefinities van Microsoft Malware Protection Engine, werkt zoals verwacht in hun omgeving.
Hoe vaak worden de Microsoft Malware Protection Engine en malwaredefinities bijgewerkt?
Microsoft publiceert doorgaans één keer per maand een update voor de Microsoft Malware Protection Engine of indien nodig om te beschermen tegen nieuwe bedreigingen. Microsoft werkt de malwaredefinities meestal drie keer per dag bij en kan de frequentie verhogen wanneer dat nodig is.
Afhankelijk van welke Antimalwaresoftware van Microsoft wordt gebruikt en hoe deze wordt geconfigureerd, kan de software elke dag zoeken naar engine- en definitie-updates wanneer deze is verbonden met internet, maximaal meerdere keren per dag. Klanten kunnen er ook voor kiezen om op elk gewenst moment handmatig op updates te controleren.
Hoe kan ik de update installeren?
Beheer istrators van bedrijfsinstallaties moeten de vastgestelde interne processen volgen om ervoor te zorgen dat de definitie- en engine-updates worden goedgekeurd in hun updatebeheersoftware en dat clients de updates dienovereenkomstig gebruiken.
Ga naar de Microsoft Centrum voor beveiliging tegen schadelijke software of raadpleeg de productdocumentatie voor meer informatie over het installeren van de nieuwste definities.
Voor eindgebruikers is geen verdere actie vereist omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd via automatische updates of via hun antimalwaresoftware. Raadpleeg de productdocumentatie voor informatie over het configureren van antimalwaresoftware.
Raadpleeg de volgende tabel voor eindgebruikers die deze update handmatig willen installeren.
Opmerking Updates die beschikbaar zijn via Microsoft Update, worden vermeld als Belangrijk. Zoek naar de juiste update voor uw software met een naam die lijkt op het voorbeeld tussen haakjes () in de onderstaande tabel.
| Software | Mechanisme voor bijwerken | Andere methoden voor het bijwerken |
|---|---|---|
| Microsoft Security Essentials | Microsoft Update | De meest recente definitie-updates voor Microsoft Security Essentials handmatig downloaden |
| Microsoft Windows Defender | Windows Update | De meest recente windows Defender-definitie-updates installeren |
| Microsoft Forefront Client Security | Microsoft Update | De meest recente updates voor Microsoft Forefront-beveiligingsupdates installeren |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update\ (voorbeeld: Definitie-update voor Microsoft Forefront Endpoint Protection 2010) | De meest recente updates voor Microsoft Forefront-beveiligingsupdates installeren |
| Hulpprogramma voor het verwijderen van schadelijke software van Microsoft | Windows Update | Hulpprogramma voor het verwijderen van schadelijke software |
Opmerking Raadpleeg het Microsoft Knowledge Base-artikel 2510781 voor aanvullende informatie over de implementatie van deze update voor specifieke Microsoft-antimalwareproducten.
Wat is de Microsoft Malware Protection Engine?
De Microsoft Malware Protection Engine, mpengine.dll, biedt de scan-, detectie- en reinigingsmogelijkheden voor Microsoft-antivirus- en antispywaresoftware. Zie de sectie Microsoft Malware Protection Engine Deployment verderop in dit advies voor meer informatie.
Waar vind ik meer informatie over de antimalwaretechnologie van Microsoft?
Ga naar de website Microsoft Centrum voor beveiliging tegen schadelijke software voor meer informatie.
Waarom wordt ISA Server niet vermeld in de lijst met betrokken of niet-beïnvloede software?
Hoewel Microsoft IsA Server (Internet Security and Acceleration) de voorganger van Forefront Threat Management Gateway 2010 (TMG) is, bevat ISA Server niet de Microsoft Malware Protection Engine en wordt daarom niet in dit advies overwogen. Malwarescans met behulp van de Microsoft Malware Protection Engine zijn voor het eerst geïntroduceerd in Forefront TMG. Zie de pagina Forefront Threat Management Gateway 2010, Wat is er nieuw voor meer informatie over nieuwe functies in Forefront TMG.
Veelgestelde vragen over beveiligingsproblemen met Microsoft Malware Protection Engine - CVE-2011-0037
Wat is het bereik van het beveiligingsprobleem?
Dit is een beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan willekeurige code uitvoeren in de beveiligingscontext van het LocalSystem-account. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Wat veroorzaakt het beveiligingsprobleem?
Het beveiligingsprobleem wordt veroorzaakt wanneer de Microsoft Malware Protection Engine een registersleutel die een aanvaller heeft ingesteld op een speciaal gemaakte waarde niet correct kan verwerken.
Wat kan een aanvaller doen met het beveiligingsprobleem?
Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan willekeurige code uitvoeren in de beveiligingscontext van het LocalSystem-account en de volledige controle over het systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Wat is het LocalSystem-account?
Het LocalSystem-account is een vooraf gedefinieerd lokaal account dat wordt gebruikt door de servicebeheerbeheerder. Het heeft uitgebreide bevoegdheden op de lokale computer en fungeert als de computer op het netwerk. Het token bevat de NT AUTHORITY\SYSTEM en BUILTIN\Beheer istrators-SID's; deze accounts hebben toegang tot de meeste systeemobjecten. Een service die wordt uitgevoerd in de context van het LocalSystem-account neemt de beveiligingscontext van Service Control Manager over. De meeste services hebben zo'n hoog bevoegdheidsniveau niet nodig. Zie het MSDN-artikel LocalSystem-account voor meer informatie.
Hoe kan een aanvaller misbruik maken van het beveiligingsprobleem?
Dit beveiligingsprobleem vereist dat een speciaal gemaakte registerlocatie wordt gescand door een getroffen versie van de Microsoft Malware Protection Engine. Om dit beveiligingsprobleem te misbruiken, moet een aanvaller zich eerst aanmelden bij het systeem en vervolgens een registersleutel van een gebruiker instellen op een speciaal gemaakte waarde.
Als de betreffende antimalwaresoftware realtime-beveiliging heeft ingeschakeld, scant de Microsoft Malware Protection Engine de locatie automatisch, wat leidt tot misbruik van het beveiligingsprobleem en kan de aanvaller volledige controle over het getroffen systeem overnemen. Als realtime scannen niet is ingeschakeld, moet de aanvaller wachten totdat een geplande scan plaatsvindt om het beveiligingsprobleem te kunnen misbruiken en om de volledige controle over het getroffen systeem te kunnen overnemen. Een aanvaller kan het beveiligingsprobleem niet misbruiken door handmatig een scan te starten.
Daarnaast kan misbruik van het beveiligingsprobleem optreden wanneer het systeem wordt gescand met behulp van een getroffen versie van het hulpprogramma voor het verwijderen van schadelijke software (MSRT). Als de huidige versie van de MSRT echter al op het systeem is uitgevoerd, kan een aanvaller de MSRT niet gebruiken om dit beveiligingsprobleem te misbruiken.
Welke systemen lopen voornamelijk risico op het beveiligingsprobleem?
Werkstations en terminalservers lopen voornamelijk gevaar. Servers kunnen meer risico lopen als gebruikers met onvoldoende beheerdersmachtigingen zich kunnen aanmelden bij servers en programma's kunnen uitvoeren. Best practices raden echter ten zeerste af dit toe te staan.
Wat doet de update?
De update lost het beveiligingsprobleem op door de manier te corrigeren waarop de Microsoft Malware Protection Engine waarden verwerkt die uit het register worden gelezen.
Wanneer dit beveiligingsadvies werd uitgegeven, werd dit beveiligingsprobleem openbaar gemaakt?
Nee Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen.
Toen dit beveiligingsadvies werd uitgegeven, kreeg Microsoft eventuele rapporten dat dit beveiligingsprobleem werd misbruikt?
Nee Microsoft had geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen toen dit beveiligingsadvies oorspronkelijk werd uitgegeven.
Factoren en voorgestelde acties beperken
Factoren beperken
Risicobeperking verwijst naar een instelling, algemene configuratie of algemene best practice, bestaande in een standaardstatus, die de ernst van dit probleem kan verminderen. De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Een aanvaller moet geldige aanmeldingsreferenties hebben om dit beveiligingsprobleem te misbruiken. Het beveiligingsprobleem kan niet worden misbruikt door anonieme gebruikers.
- Een aanvaller kan de msRT (Malicious Software Removal Tool) van februari 2011 of eerdere versies gebruiken om dit beveiligingsprobleem te misbruiken, alleen als die versie van MSRT nog niet op het systeem is uitgevoerd. Toen dit advies voor het eerst werd uitgebracht, zou de versie van februari 2011 van de MSRT al zijn gedownload en automatisch worden uitgevoerd via automatische updates. Microsoft heeft een bijgewerkte versie uitgebracht om het probleem op te lossen in het hulpprogramma voor het verwijderen van schadelijke software op dinsdag 8 maart 2011. Versies van de MSRT die op of na die datum zijn uitgebracht, zijn niet kwetsbaar voor het probleem dat in dit beveiligingsadvies wordt beschreven.
Voorgestelde acties
Er is doorgaans geen actie vereist voor ondernemingsbeheerders of eindgebruikers om deze update te installeren. Microsoft raadt klanten aan om malwaredefinities altijd up-to-date te houden. Klanten moeten controleren of de nieuwste versie van de Microsoft Malware Protection Engine en definitie-updates actief worden gedownload en geïnstalleerd voor hun Microsoft-antimalwareproducten.
Beheer istrators van antimalware-implementaties van ondernemingen moeten ervoor zorgen dat hun updatebeheersoftware is geconfigureerd voor het automatisch goedkeuren en distribueren van engine-updates en nieuwe malwaredefinities. Ondernemingsbeheerders moeten ook controleren of de nieuwste versie van de Microsoft Malware Protection Engine en definitie-updates actief worden gedownload, goedgekeurd en geïmplementeerd in hun omgeving.
Voor eindgebruikers biedt de betreffende software ingebouwde mechanismen voor de automatische detectie en implementatie van deze update. Voor deze klanten wordt de update binnen 48 uur na de beschikbaarheid toegepast. Het exacte tijdsbestek is afhankelijk van de gebruikte software, internetverbinding en infrastructuurconfiguratie. Eindgebruikers die niet willen wachten, kunnen hun antimalwaresoftware handmatig bijwerken.
Raadpleeg het Microsoft Knowledge Base-artikel 2510781 of raadpleeg de sectie Veelgestelde vragen (FAQ) over dit advies voor meer informatie over het handmatig bijwerken van de Microsoft Malware Protection Engine en malwaredefinities.
Overige informatie
Erkenningen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Caesar Cerrudo van Argeniss voor het melden van het beveiligingsprobleem met de Microsoft Malware Protection Engine (CVE-2011-0037)
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites die worden geleverd door programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (23 februari 2011): Advies gepubliceerd.
- V1.1 (8 maart 2011): Herziene veelgestelde vragen over advies om bijgewerkte versie van de MSRT aan te kondigen en Forefront Security for Exchange Server toe te voegen aan de lijst met niet-betrokken software.
Gebouwd op 2014-04-18T13:49:36Z-07:00