Consultoria de Segurança
Comunicado de Segurança da Microsoft 2491888
Vulnerabilidade no mecanismo de proteção contra malware da Microsoft pode permitir elevação de privilégio
Publicado: terça-feira, 23 de fevereiro de 2011 | Atualizado: March 08, 2011
Versão: 1.1
Informações Gerais
Resumo executivo
A Microsoft está lançando este comunicado de segurança para ajudar a garantir que os clientes estejam cientes de que uma atualização do Mecanismo de Proteção contra Malware da Microsoft também aborda uma vulnerabilidade de segurança relatada à Microsoft. A atualização elimina uma vulnerabilidade relatada em particular que pode permitir a elevação de privilégio se o Mecanismo de Proteção contra Malware da Microsoft verificar um sistema depois que um invasor com credenciais de logon válidas tiver criado uma chave do Registro especialmente criada. Um invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos de usuário que a conta LocalSystem. A vulnerabilidade não pôde ser explorada por usuários anônimos.
Como o Mecanismo de Proteção contra Malware da Microsoft faz parte de vários produtos antimalware da Microsoft, a atualização para o Mecanismo de Proteção contra Malware da Microsoft é instalada junto com as definições de malware atualizadas para os produtos afetados. Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações de definição e mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização, porque o mecanismo interno para a detecção automática e implantação desta atualização aplicará a atualização nas próximas 48 horas. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2011-0037 |
| Última versão do Mecanismo de Proteção contra Malware da Microsoft afetada por esta vulnerabilidade | Versão 1.1.6502.0* |
| Primeira versão do Mecanismo de Proteção contra Malware da Microsoft com esta vulnerabilidade abordada | Versão 1.1.6603.0** |
*Esta versão é a última versão do Mecanismo de Proteção contra Malware da Microsoft que é afetada pela vulnerabilidade.
**Se a sua versão do Mecanismo de Proteção contra Malware da Microsoft for igual ou maior que esta versão, você não será afetado por esta vulnerabilidade e não precisará tomar nenhuma ação adicional. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, visite Ciclo de Vida do Suporte da Microsoft.
O Mecanismo de Proteção contra Malware da Microsoft faz parte de vários produtos antimalware da Microsoft. Dependendo de qual produto antimalware da Microsoft afetado está instalado, esta atualização pode ter classificações de gravidade diferentes. As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade.
Softwares afetados
| Anti-malware Software | Vulnerabilidade no mecanismo de proteção contra malware da Microsoft - CVE-2011-0037 |
|---|---|
| Windows Live OneCare | Importante \ Elevação de Privilégio |
| Fundamentos de segurança da Microsoft | Importante \ Elevação de Privilégio |
| Microsoft Windows Defender | Importante \ Elevação de Privilégio |
| Microsoft Forefront Client Security | Importante \ Elevação de Privilégio |
| Microsoft Forefront Endpoint Protection 2010 | Importante \ Elevação de Privilégio |
| Ferramenta de Remoção de Software Mal-Intencionado da Microsoft[1] | Importante \ Elevação de Privilégio |
[1]Aplica-se somente a fevereiro de 2011 ou versões anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.
Software não afetado
| Anti-malware Software |
|---|
| Microsoft Antigen para Exchange |
| Microsoft Antigen para gateway SMTP |
| Forefront Security para Exchange Server |
| Forefront Protection 2010 para Exchange Server |
| Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Security para SharePoint |
| Forefront Security para Office Communications Server |
| Microsoft Standalone System Sweeper (parte do Microsoft Diagnostics and Recovery Toolset) |
Índice de Exploração
A tabela a seguir fornece uma avaliação da capacidade de exploração da vulnerabilidade abordada neste comunicado.
Como faço para usar esta tabela?
Use esta tabela para saber mais sobre a probabilidade de o código de exploração em funcionamento ser liberado dentro de 30 dias após esta versão do comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para priorizar sua implantação. Para obter mais informações sobre o que essas classificações significam e como elas são determinadas, consulte Índice de exploração da Microsoft.
| Título da vulnerabilidade | ID da CVE | Avaliação do índice de exploração | Notas principais |
|---|---|---|---|
| Vulnerabilidade do mecanismo de proteção contra malware da Microsoft | CVE-2011-0037 | 1 - Código de exploração consistente provável | Esta é uma vulnerabilidade de elevação de privilégio |
Perguntas frequentes (FAQ) sobre este comunicado
Por que este comunicado foi revisado em 8 de março de 2011?
Quando este comunicado foi lançado pela primeira vez, uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT) não estava disponível. A Microsoft lançou uma versão atualizada da MSRT na terça-feira, 8 de março de 2011, que aborda a vulnerabilidade. As versões da MSRT lançadas a partir dessa data não são afetadas pela vulnerabilidade descrita neste comunicado de segurança.
Por que nenhuma atualização para a Ferramenta de Remoção de Software Mal-Intencionado (MSRT) estava disponível quando este Comunicado de Segurança foi lançado pela primeira vez?
A vulnerabilidade só pôde ser explorada até fevereiro de 2011 ou versões anteriores da MSRT quando a MSRT foi inicialmente oferecida e baixada usando as Atualizações Automáticas. A Microsoft lançou uma versão atualizada para resolver o problema na Ferramenta de Remoção de Software Mal-Intencionado na terça-feira, 8 de março de 2011. As versões da MSRT lançadas a partir dessa data não são vulneráveis ao problema descrito neste comunicado de segurança.
A MSRT é executada apenas uma vez quando baixada usando as Atualizações Automáticas. Um invasor não pôde explorar essa vulnerabilidade executando uma versão vulnerável da MSRT manualmente.
A Microsoft está lançando um Boletim de Segurança para resolver essa vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança informativo para ajudar a garantir que os clientes estejam cientes de que esta atualização do Mecanismo de Proteção contra Malware da Microsoft também elimina uma vulnerabilidade de segurança relatada à Microsoft.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.
Por que normalmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza com frequência as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado com essas atualizações em tempo hábil.
Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft sejam mantidos atualizados automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.
As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações do Mecanismo de Proteção contra Malware da Microsoft e definições de malware, está funcionando conforme o esperado em seu ambiente.
Com que frequência o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft normalmente lança uma atualização para o Mecanismo de Proteção contra Malware da Microsoft uma vez por mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também costuma atualizar as definições de malware três vezes ao dia e pode aumentar a frequência quando necessário.
Dependendo de qual software antimalware da Microsoft é usado e como ele é configurado, o software pode procurar atualizações de mecanismo e definição todos os dias quando conectado à Internet, até várias vezes ao dia. Os clientes também podem optar por verificar manualmente se há atualizações a qualquer momento.
Como posso instalar a atualização?
Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações de definição e mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.
Para obter mais informações sobre como instalar as definições mais recentes, visite o Centro de Proteção contra Malware da Microsoft ou consulte a documentação do produto.
Para os usuários finais, nenhuma ação adicional é necessária, pois esta atualização de segurança será baixada e instalada automaticamente por meio da atualização automática ou por meio de seu software antimalware. Para obter informações sobre como configurar o software antimalware, consulte a documentação do produto.
Para usuários finais que desejam instalar essa atualização manualmente, consulte a tabela a seguir.
Observação As atualizações disponíveis por meio do Microsoft Update serão listadas como Importantes. Procure a atualização apropriada para seu software com um nome semelhante ao exemplo listado entre parênteses () na tabela abaixo.
| Software | Mecanismo de Atualização | Outros métodos de atualização |
|---|---|---|
| Fundamentos de segurança da Microsoft | Microsoft Update | Como baixar manualmente as atualizações de definição mais recentes para o Microsoft Security Essentials |
| Microsoft Windows Defender | Windows Update | Instalar as atualizações de definição mais recentes do Windows Defender |
| Microsoft Forefront Client Security | Microsoft Update | Instalar as atualizações de definição mais recentes do Microsoft Forefront Security |
| Microsoft Forefront Endpoint Protection 2010 | Microsoft Update\ (exemplo: "Atualização de definição para o Microsoft Forefront Endpoint Protection 2010") | Instalar as atualizações de definição mais recentes do Microsoft Forefront Security |
| Ferramenta de Remoção de Software Mal-Intencionado da Microsoft | Windows Update | Ferramenta de remoção de software mal-intencionado |
Observação Para obter informações adicionais sobre a implantação desta atualização para produtos antimalware específicos da Microsoft, consulte o Artigo 2510781 Base de Dados de Conhecimento Microsoft.
O que é o Mecanismo de Proteção contra Malware da Microsoft?
O Mecanismo de Proteção contra Malware da Microsoft, mpengine.dll, fornece os recursos de varredura, detecção e limpeza para o software antivírus e antispyware da Microsoft. Para obter mais informações, consulte a seção Implantação do mecanismo de proteção contra malware da Microsoft, mais adiante neste comunicado.
Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.
Por que o ISA Server não está listado na lista de softwares afetados ou não afetados?
Embora o Microsoft Internet Security and Acceleration (ISA) Server seja o antecessor do Forefront Threat Management Gateway 2010 (TMG), o ISA Server não contém o Mecanismo de Proteção contra Malware da Microsoft e, como tal, não é considerado neste comunicado. A verificação de malware usando o Mecanismo de Proteção contra Malware da Microsoft foi introduzida pela primeira vez no Forefront TMG. Para obter mais informações sobre novos recursos no Forefront TMG, consulte a página do Forefront Threat Management Gateway 2010, Novidades.
Perguntas frequentes sobre a vulnerabilidade no mecanismo de proteção contra malware da Microsoft - CVE-2011-0037
Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de elevação de privilégio. O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o Mecanismo de Proteção contra Malware da Microsoft não processa corretamente uma chave do Registro definida por um invasor como um valor especialmente criado.
Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle total do sistema. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
O que é a conta LocalSystem?
A conta LocalSystem é uma conta local predefinida usada pelo gerenciador de controle de serviço. Ele tem amplos privilégios no computador local e atua como o computador na rede. Seu token inclui os SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators; Essas contas têm acesso à maioria dos objetos do sistema. Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do Gerenciador de Controle de Serviços. A maioria dos serviços não precisa de um nível de privilégio tão alto. Para obter mais informações, consulte o artigo do MSDN, LocalSystem Account.
Como um invasor pode explorar a vulnerabilidade?
Esta vulnerabilidade requer que um local do Registro especialmente criado seja verificado por uma versão afetada do Mecanismo de Proteção contra Malware da Microsoft. Para explorar esta vulnerabilidade, um intruso teria primeiro de iniciar sessão no sistema e, em seguida, definir uma chave de registo de utilizador para um valor especialmente concebido para o efeito.
Se o software antimalware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará o local automaticamente, levando à exploração da vulnerabilidade e permitindo que o invasor assuma o controle total do sistema afetado. Se a verificação em tempo real não estiver habilitada, o invasor precisará aguardar até que uma verificação agendada ocorra para que a vulnerabilidade seja explorada e assuma o controle total do sistema afetado. Um invasor não pôde explorar a vulnerabilidade iniciando uma verificação manualmente.
Além disso, a exploração da vulnerabilidade pode ocorrer quando o sistema é verificado usando uma versão afetada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT). No entanto, se a versão atual da MSRT já tiver sido executada no sistema, um invasor não poderá usar a MSRT para explorar essa vulnerabilidade.
Quais são os sistemas que mais correm risco com a vulnerabilidade?
As estações de trabalho e os servidores de terminal são os que correm mais risco. Os servidores podem correr mais riscos se os usuários que não têm permissões administrativas suficientes tiverem a capacidade de fazer logon nos servidores e executar programas. No entanto, as práticas recomendadas desencorajam fortemente a permissão disso.
O que a atualização faz?
A atualização elimina a vulnerabilidade corrigindo a maneira como o Mecanismo de Proteção contra Malware da Microsoft processa os valores lidos do Registro.
Quando este comunicado de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.
Quando este comunicado de segurança foi emitido, a Microsoft havia recebido algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não havia recebido nenhuma informação que indicasse que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este comunicado de segurança foi publicado originalmente.
Fatores atenuantes e ações sugeridas
Fatores atenuantes
Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade desse problema. Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Um intruso tem de ter credenciais de início de sessão válidas para explorar esta vulnerabilidade. A vulnerabilidade não pôde ser explorada por usuários anônimos.
- Um invasor poderia ter usado as versões de fevereiro de 2011 ou anteriores da Ferramenta de Remoção de Software Mal-Intencionado (MSRT) para explorar essa vulnerabilidade, somente se essa versão da MSRT ainda não tivesse sido executada no sistema. Quando este comunicado foi lançado pela primeira vez, para a maioria dos usuários finais, a versão de fevereiro de 2011 da MSRT já teria sido baixada e executada automaticamente por meio de atualização automática. A Microsoft lançou uma versão atualizada para resolver o problema na Ferramenta de Remoção de Software Mal-Intencionado na terça-feira, 8 de março de 2011. As versões da MSRT lançadas a partir dessa data não são vulneráveis ao problema descrito neste comunicado de segurança.
Ações sugeridas
Normalmente, não é necessária nenhuma ação para que os administradores corporativos ou usuários finais instalem essa atualização. A Microsoft recomenda que os clientes mantenham as definições de malware sempre atualizadas. Os clientes devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.
Os administradores de implantações de antimalware corporativo devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.
Para usuários finais, o software afetado fornece mecanismos internos para a detecção automática e a implantação dessa atualização. Para esses clientes, a atualização será aplicada em até 48 horas após sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.
Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware, consulte o Artigo 2510781 da Base de Dados de Conhecimento Microsoft ou consulte a seção Perguntas frequentes sobre este comunicado.
Outras Informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Cesar Cerrudo, da Argeniss, por relatar a vulnerabilidade no mecanismo de proteção contra malware da Microsoft (CVE-2011-0037)
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (23 de fevereiro de 2011): Comunicado publicado.
- V1.1 (8 de março de 2011): Perguntas frequentes revisadas sobre o comunicado para anunciar a versão atualizada da MSRT e adicionou o Forefront Security para Exchange Server à lista de softwares não afetados.
Construído em 2014-04-18T13:49:36Z-07:00