Alguma sugestão? Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2491888

A vulnerabilidade no Mecanismo de Proteção Contra Malware da Microsoft pode permitir elevação de privilégio

Publicado: sexta-feira, 25 de fevereiro de 2011 | Atualizado: quarta-feira, 16 de março de 2011

Versão: 1.1

Informações Gerais

Sinopse

A Microsoft lança este comunicado de segurança para ajudar a garantir que os clientes fiquem cientes de que uma atualização no Mecanismo de Proteção Contra Malware da Microsoft também aborda uma vulnerabilidade de segurança relatada à Microsoft. A atualização aborda uma vulnerabilidade relatada em particular que pode permitir elevação de privilégios se o Mecanismo de Proteção Contra Malware da Microsoft digitaliza um sistema depois que um invasor com credenciais válidas de logon criar uma chave de registro especialmente criada. O invasor que explorar com êxito a vulnerabilidade pode ganhar os mesmos direitos de usuário como a conta de LocalSystem. Essa vulnerabilidade não pode ser explorada por usuários anônimos.

Já que o Mecanismo de Proteção Contra Malware da Microsoft faz uma parte de vários produtos de anti-malware da Microsoft, a atualização ao Mecanismo de Proteção Contra Malware da Microsoft é instalada junto com as definições atualizadas de malware para os produtos afetados. Os administradores de instalações empresariais devem seguir seus processos internos estabelecidos para garantir que a definição e as atualizações de mecanismo sejam aprovadas em seu software de gerenciamento de atualização, e que os clientes consumam as atualizações consequentemente.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar esta atualização, pois o mecanismo incorporado para a detecção automática e implantação desta atualização aplicará a atualização dentro das próximas 48 horas. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Referência CVE CVE-2011-0037
Última versão do Mecanismo de Proteção Contra Malware da Microsoft afetado por esta vulnerabilidade Versão 1.1.6502.0*
Primeira versão do Mecanismo de Proteção Contra Malware da Microsoft com esta vulnerabilidade abordada Versão 1.1.6603.0**

*Esta versão é a última versão do Mecanismo de Proteção Contra Malware da Microsoft afetado pela vulnerabilidade.

**Se sua versão do Mecanismo de Proteção Contra Malware da Microsoft é igual ou maior que esta versão, então você não é afetado por esta vulnerabilidade e não deve tomar nenhuma outra ação. Para obter mais informações sobre como verificar o número de versão de mecanismo usado atualmente pelo software, consulte a seção, "Verificando instalação da atualização", no artigo 2510781 (em inglês) da Microsoft Knowledge Base.

Software afetado e classificações de gravidade

Os softwares a seguir foram testados para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do Suporte Microsoft.

O Mecanismo de Proteção Contra Malware da Microsoft faz parte de vários produtos da Microsoft. Dependendo de qual produto de anti-malware afetado da Microsoft é instalado, esta atualização pode ter classificações de gravidade diferentes. As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade.

Softwares afetados

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Software de Anti-malwareVulnerabilidade do Mecanismo de Proteção Contra Malware da Microsoft - CVE-2011-0037
Windows Live OneCare Importante
Elevação de privilégio
Microsoft Security Essentials Importante
Elevação de privilégio
Microsoft Windows Defender Importante
Elevação de privilégio
Microsoft Forefront Client Security Importante
Elevação de privilégio
Microsoft Forefront Endpoint Protection 2010 Importante
Elevação de privilégio
Ferramenta de Remoção de Software Mal-Intencionado[1] Importante
Elevação de privilégio

[1]Aplica-se somente às versões de fevereiro de 2011 ou anteriores da Ferramenta de Remoção de Software Mal-Intencionado.

Softwares não afetados

Software de Anti-malware
Microsoft Antigen para Exchange
Microsoft Antigen para Gateway SMTP
Forefront Security para Exchange Server
Forefront Protection 2010 para Exchange Server
Forefront Threat Management Gateway 2010
Microsoft Forefront Security para SharePoint
Forefront Security para Office Communications Server
Microsoft Standalone System Sweeper (parte do Microsoft Diagnostics e Recovery Toolset)

A tabela a seguir fornece uma avaliação de exploração da vulnerabilidade abordada neste comunicado.

Como devo usar a tabela?

Use esta tabela para saber mais sobre a probabilidade do código de exploração de funcionamento ser lançado dentro de 30 dias do lançamento deste comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para dar prioridade a sua implantação. Para obter mais informações sobre o que estas avaliações significam e como são determinadas, consulte o Microsoft Exploitability Index.

Título da vulnerabilidadeID do CVEAvaliação do índice de exploraçãoPrincipais observações
Vulnerabilidade do Mecanismo de Proteção Contra Malware da Microsoft CVE-2011-0037 1 - Possível código de exploração consistenteEsta é uma vulnerabilidade de elevação de privilégio.

Por que este comunicado foi revisado em 8 de março de 2011?
Quando este comunicado foi lançado pela primeira vez, uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT) não estava disponível. A Microsoft lançou uma versão atualizada do MSRT na terça-feira, 8 de março de 2011, que aborda a vulnerabilidade. As versões do MSRT lançadas até ou após essa data não são afetadas pela vulnerabilidade descrita neste comunicado de segurança.

Por que não havia atualização disponível para a Ferramenta de Remoção de Software Mal-Intencionado (MSRT) quando este comunicado de segurança foi lançado pela primeira vez?
A vulnerabilidade somente podia ser explorada até fevereiro de 2011 ou versões anteriores do MSRT quando o MSRT inicialmente foi oferecido e baixado usando as Atualizações Automáticas. A Microsoft lançou uma versão atualizada para abordar o problema na Ferramenta de Remoção de Software Mal-Intencionado na terça-feira, 8 de março de 2011. As versões do MSRT lançadas até ou após essa data não são vulneráveis ao problema descrito neste comunicado de segurança.

O MSRT é executado somente uma vez quando baixado usando as Atualizações Automáticas. Um invasor não poderia explorar esta vulnerabilidade executando uma versão vulnerável do MSRT manualmente.

A Microsoft irá lançar um Boletim de segurança para abordar esta vulnerabilidade?
Não. A Microsoft lança este comunicado instrutivo de segurança para ajudar a garantir que os clientes estejam cientes de que esta atualização do Mecanismo de Proteção Contra Malware da Microsoft também aborda uma vulnerabilidade de segurança relatado à Microsoft.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar esta atualização.

Por que geralmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a um ambiente de ameaça constantemente variável, a Microsoft atualiza frequentemente as definições de malware e o Mecanismo de Proteção Contra Malware da Microsoft. Para ser eficiente e ajudar a proteger contra ameaças novas e predominantes, o software de anti-malware deve ser mantido atualizado com essas atualizações de maneira oportuna.

Para implantações empresariais, assim como usuários finais, a configuração padrão do software de anti-malware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção Contra Malware da Microsoft sejam mantidas atualizadas automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.

As práticas recomendadas sugerem que os clientes verifiquem regularmente se a distribuição de software, tal como a implantação automática de atualizações do Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware, funcionam como esperado em seu ambiente.

Com que frequência o Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft geralmente lança uma atualização para o Mecanismo de Proteção Contra Malware da Microsoft uma vez ao mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também geralmente atualiza as definições de malware três vezes ao dia e pode aumentar a frequência conforme necessário.

Dependendo de qual software de anti-malware da Microsoft é usado e como é configurado, o software pode procurar por um mecanismo e atualizações de definição todos os dias quando conectado à Internet, até múltiplas vezes diariamente. Os clientes podem também escolher verificar atualizações manualmente a qualquer momento.

Como eu posso instalar a atualização?
Os administradores de instalações empresariais devem seguir seus processos internos estabelecidos para garantir que a definição e as atualizações de mecanismo sejam aprovadas em seu software de gerenciamento de atualização, e que os clientes consumam as atualizações consequentemente.

Para obter mais informações sobre como instalar as últimas definições, visite o Centro de proteção de malware da Microsoft, ou consulte a documentação do produto.

Para usuários finais, nenhuma outra ação é necessária, pois a atualização de segurança será baixada e instalada automaticamente através de uma atualização automática ou através do software de anti-malware. Para obter mais informação sobre como configurar o software de anti-malware, consulte a documentação do produto.

Para usuários finais que desejam instalar esta atualização manualmente, consulte a tabela a seguir.

Observação As atualizações disponíveis através da Atualização da Microsoft estarão listadas como Importante. Procure pela atualização apropriada para o seu software com um nome semelhante ao exemplo listado em parêntese () na tabela a seguir.

SoftwareAtualizar MecanismoOutros métodos de atualização
Microsoft Security Essentials Microsoft Update Como baixar manualmente as últimas atualizações de definição para o Microsoft Security Essencial
Microsoft Windows Defender Windows Update Instale as últimas atualizações de definição do Windows Defender
Microsoft Forefront Client Security Microsoft Update Instale as últimas atualizações de definição do Microsoft Forefront Security
Microsoft Forefront Endpoint Protection 2010 Microsoft Update
(Exemplo: "Atualização de definição para Microsoft Forefront Endpoint Protection 2010")
Instale as últimas atualizações de definição do Microsoft Forefront Security
Remoção de Software Mal-Intencionado da Microsoft Windows Update Ferramenta de Remoção de Software Mal-intencionado

Observação Para obter informações adicionais sobre a implantação desta atualização para produtos específicos de anti-malware do Microsoft, consulte o artigo 2510781 (em inglês) da Microsoft Knowledge Base.

O que é o Mecanismo de Proteção Contra Malware da Microsoft?
O Mecanismo de Proteção Contra Malware da Microsoft, mpengine.dll, fornece os recursos de verificação, detecção e limpeza para os software antivírus e anti-spyware. Para obter mais informações, consulte a seção, Implantação de Mecanismo de Proteção Contra Malware da Microsoft, posteriormente neste comunicado.

Onde eu posso localizar mais informação sobre a tecnologia de anti-malware da Microsoft?
Para obter mais informações, visite o site do Centro de proteção de malware da Microsoft .

Por que o ISA Server não está listado na lista de softwares afetados ou não afetados?
Enquanto o Internet Security and Acceleration (ISA) Server da Microsoft é o predecessor do Forefront Threat Management Gateway 2010 (TMG), o ISA Server não contem o Mecanismo de Proteção Contra Malware da Microsoft e como tal não é considerado neste comunicado. A digitalização de malware usando o Mecanismo de Proteção Contra Malware da Microsoft foi introduzida primeiramente no Forefront TMG. Para obter mais informações sobre os novos recursos do Forefront TMG, consulte a página do Forefront Threat Management Gateway 2010, Novidades.

Qual é o escopo da vulnerabilidade?
Esta é uma vulnerabilidade de elevação de privilégio. O invasor que explorar esta vulnerabilidade com êxito poderá executar esse código arbitrário no contexto de segurança da conta de LocalSystem. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade?
A vulnerabilidade é causada quando o Mecanismo de Proteção Contra Malware da Microsoft falha ao processar adequadamente uma chave do registro que um invasor configurou para um valor especialmente criado.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito esta vulnerabilidade pode executar o código arbitrário no contexto de segurança da conta de LocalSystem e tenha controle total do sistema. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que é a conta LocalSystem?
A conta LocalSystem é uma conta local predefinida usada pelo gerenciador de controle de serviço. Ela tem privilégios amplos no computador local e atua como o computador na rede. Seu token inclui as SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators. Essas contas têm acesso à maioria dos objetos do sistema. Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do Gerenciador de Controle de Serviço. A maioria dos serviços não precisa de um nível de privilégios tão alto. Para obter mais informações, consulte o artigo do MSDN, LocalSystem Account.

De que forma o invasor pode explorar a vulnerabilidade?
Esta vulnerabilidade necessita que um local de registro especialmente criado seja digitalizado por uma versão afetada do Mecanismo de Proteção Contra Malware da Microsoft. Para explorar esta vulnerabilidade, um invasor terá primeiro que fazer o logon no sistema, e então configurar uma chave de registro do usuário para um valor especialmente criado.

Se o software de anti-malware afetado tiver proteção em tempo real ativada, o Mecanismo de Proteção Contra Malware da Microsoft digitalizará o local automaticamente, levando à exploração da vulnerabilidade e permitindo que o invasor tenha controle total do sistema afetado. Se a digitalização em tempo real não estiver ativada, o invasor deve esperar até que uma digitalização programada ocorra para que a vulnerabilidade seja explorada e tenha controle total do sistema afetado. Um invasor não pode explorar a vulnerabilidade iniciando uma digitalização manualmente.

Além disso, a exploração da vulnerabilidade pode ocorrer quando o sistema é digitalizado usando a versão afetada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT). No entanto, se a versão atual do MSRT já foi executada no sistema, um invasor não pode usar o MSRT para explorar esta vulnerabilidade.

Quais são os sistemas que correm mais riscos com a vulnerabilidade?
Principalmente as estações de trabalho e os servidores de terminal estão correndo risco. Os servidores correrão mais risco se usuários que não tiverem permissões administrativas suficientes puderem fazer logon nos servidores e executar programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz?
A atualização aborda a vulnerabilidade corrigindo a maneira com a qual o Mecanismo de Proteção de Malware da Microsoft processa os valores lidos a partir do registro.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este comunicado de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Fatores atenuantes

A atenuação refere-se a uma definição, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade deste problema. Os fatores de atenuação a seguir podem ser úteis em sua situação:

  • Um invasor deve ter credenciais de logon válidas para explorar esta vulnerabilidade. Essa vulnerabilidade não pode ser explorada por usuários anônimos.
  • Um invasor poderia ter usado versões de fevereiro de 2011 ou anteriores da Ferramenta de Remoção de Software Mal-Intencionado (MSRT) para explorar esta vulnerabilidade somente se essa versão do MSRT não tivesse sido executada no sistema. Quando este comunicado foi lançado pela primeira vez, para a maioria dos usuários finais, a versão de fevereiro de 2011 do MSRT já teria sido baixada e executada automaticamente pela atualização automática. A Microsoft lançou uma versão atualizada para abordar o problema na Ferramenta de Remoção de Software Mal-Intencionado na terça-feira, 8 de março de 2011. As versões do MSRT lançadas até ou após essa data não são vulneráveis ao problema descrito neste comunicado de segurança.

Ações sugeridas

Geralmente, não há nenhuma ação necessária pelos administradores de empresa ou usuários finais para instalar esta atualização. A Microsoft recomenda que os clientes mantenham as definições de malware atualizadas todo o tempo. Os clientes devem verificar se a última versão do Mecanismo de Proteção Contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos de anti-malware da Microsoft.

Os administradores de implantações de anti-malware empresariais devem garantir que seus softwares de gerenciamento de atualização sejam configurados automaticamente para aprovar e distribuir atualizações de mecanismo e novas definições de software mal-intencionado. Os administradores de empresa também devem verificar se a última versão do Mecanismo de Proteção Contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.

Para usuários finais, o software afetado fornece mecanismos incorporados para a detecção automática e implantação desta atualização. Para estes clientes a atualização será aplicada dentro de 48 horas de sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software de anti-malware.

Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware, consulte o artigo 2510781 (em inglês) da Microsoft Knowledge Base ou a seção, Perguntas frequentes (FAW) sobre este comunicado.

Outras informações

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

  • Cesar Cerrudo, da Argeniss, por relatar a vulnerabilidade do Mecanismo de Proteção Contra Malware da Microsoft (CVE-2011-0037)

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (23 de fevereiro de 2011): Comunicado publicado.
  • V1.1 (8 de março de 2011): Perguntas frequentes revisadas para anunciar versão atualizada do MSRT e Forefront Security for Exchange Server adicionado à lista de software não afetado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar:
© 2016 Microsoft