Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2974294

Vulnerabilidade no Mecanismo de Proteção contra Malware da Microsoft pode permitir negação de serviço

Publicado em: 17 de junho de 2014

Versão: 1.0

Informações Gerais

Sinopse

A Microsoft lança este comunicado de segurança para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft trata uma vulnerabilidade de segurança relatada à Microsoft. A vulnerabilidade pode permitir a negação de serviço se o Mecanismo de Proteção contra Malware da Microsoft verificar um arquivo especialmente criado. Um invasor que tenha explorado esta vulnerabilidade com sucesso poderá impedir que o Mecanismo de Proteção contra Malware da Microsoft monitore sistemas afetados até que o arquivo especialmente criado seja removido manualmente e o serviço seja reiniciado.

O Mecanismo de Proteção contra Malware da Microsoft é fornecido com vários produtos anti-malware da Microsoft. Consulte a seção Softwares afetados para obter uma lista de produtos afetados. As atualizações ao Mecanismo de proteção contra malware da Microsoft são instaladas junto com as definições atualizadas de software mal-intencionado para os produtos afetados. Os administradores de instalações empresariais devem seguir seus processos internos estabelecidos para garantir que a definição e as atualizações de mecanismo sejam aprovadas em seu software de gerenciamento de atualização, e que os clientes consumam as atualizações consequentemente.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar atualizações do Mecanismo de Proteção contra Malware da Microsoft, pois o mecanismo incorporado para a detecção e implantação automática de atualizações aplicará a atualização dentro de 48 horas do lançamento. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura.

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências

Identificação

Referência CVE

CVE-2014-2779

Artigo da Base de Conhecimento Microsoft

2974294

Última versão do Mecanismo de Proteção Contra Malware da Microsoft afetada por esta vulnerabilidade

Versão 1.1.10600.0

Primeira versão do Mecanismo de Proteção Contra Malware da Microsoft com esta vulnerabilidade tratada

Versão 1.1.10701.0*

*Se sua versão do Mecanismo de Proteção Contra Malware da Microsoft é igual ou maior que esta versão, então você não é afetado por esta vulnerabilidade e não deve tomar nenhuma outra ação. Para obter mais informações sobre como verificar o número de versão de mecanismo usado atualmente pelo software, consulte a seção, "Verificando instalação da atualização", no artigo 2510781 (em inglês) da Microsoft Knowledge Base.

Este comunicado descreve o seguinte software:

Softwares afetados

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Software antimalware

Vulnerabilidade de negação de serviço no Mecanismo de Proteção contra Malware da Microsoft - CVE-2014-2779

Microsoft Forefront Client Security

Importante 
Negação de Serviço

Microsoft Forefront Endpoint Protection 2010

Importante 
Negação de Serviço

Microsoft Forefront Security para SharePoint Service Pack 3

Importante 
Negação de Serviço

Microsoft System Center 2012 Endpoint Protection

Importante 
Negação de Serviço

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Importante 
Negação de Serviço

Ferramenta de Remoção de Software Mal-Intencionado[1]

Importante 
Negação de Serviço

Microsoft Security Essentials

Importante 
Negação de Serviço

Microsoft Security Essentials Prerelease

Importante 
Negação de Serviço

Windows Defender para Windows 8, Windows 8.1 , Windows Server 2012 e Windows Server 2012 R2

Importante 
Negação de Serviço

Windows Defender para Windows RT e Windows RT 8.1

Importante 
Negação de Serviço

Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2

Importante 
Negação de Serviço

Windows Defender Offline

Importante 
Negação de Serviço

Windows Intune Endpoint Protection

Importante 
Negação de Serviço

[1]Aplica-se somente às versões de maio de 2014 ou anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.

Softwares não afetados

Software antimalware

Não executa Mecanismo de Proteção contra Software mal-intencionado

Microsoft Forefront Server Security Management Console

Microsoft Internet Security and Acceleration (ISA) Server

A tabela a seguir fornece uma avaliação de exploração da vulnerabilidade abordada neste comunicado.

Como devo usar a tabela?

Use esta tabela para saber mais sobre a probabilidade do código de exploração de funcionamento ser lançado dentro de 30 dias do lançamento deste comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para dar prioridade a sua implantação. Para obter mais informações sobre o que estas avaliações significam e como são determinadas, consulte o Índice de exploração da Microsoft.

Título da vulnerabilidade

ID do CVE

Avaliação da capacidade de exploração da última versão de software

Avaliação da capacidade de exploração de versão mais antiga de software

Avaliação do risco de exploração para negação de serviço

Principais observações

Vulnerabilidade de negação de serviço no Mecanismo de Proteção contra Malware da Microsoft

CVE-2014-2779

3 - Código de exploração improvável

3 - Código de exploração improvável

Permanente

Essa é uma vulnerabilidade de negação de serviço (site em inglês).

A exploração desta vulnerabilidade pode fazer com que o sistema operacional ou um aplicativo deixem de responder permanentemente até que sejam reiniciados manualmente. Isso pode também fazer com que um aplicativo feche ou seja encerrado inesperadamente sem a recuperação automática.

A Microsoft irá lançar um Boletim de segurança para tratar esta vulnerabilidade? 
Não. A Microsoft lança este comunicado de segurança para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft trata uma vulnerabilidade de segurança que foi relatada à Microsoft.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar esta atualização.

Por que geralmente nenhuma ação é necessária para instalar esta atualização? 
Em resposta a um ambiente de ameaça constantemente variável, a Microsoft atualiza frequentemente as definições de malware e o Mecanismo de Proteção Contra Malware da Microsoft. Para ser eficiente e ajudar a proteger contra ameaças novas e predominantes, o software de anti-malware deve ser mantido atualizado com essas atualizações de maneira oportuna.

Para implantações empresariais, assim como usuários finais, a configuração padrão do software de anti-malware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção Contra Malware da Microsoft sejam mantidas atualizadas automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.

As práticas recomendadas sugerem que os clientes verifiquem regularmente se a distribuição de software, tal como a implantação automática de atualizações do Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware, funcionam como esperado em seu ambiente.

Com que frequência o Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware são atualizados? 
A Microsoft geralmente lança uma atualização para o Mecanismo de Proteção Contra Malware da Microsoft uma vez ao mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também geralmente atualiza as definições de malware três vezes ao dia e pode aumentar a frequência conforme necessário.

Dependendo de qual software anti-malware da Microsoft é usado e como é configurado, o software pode procurar por um mecanismo e atualizações de definição todos os dias quando conectado à Internet, até múltiplas vezes diariamente. Os clientes podem também escolher verificar atualizações manualmente a qualquer momento.

Como eu posso instalar a atualização? 
Consulte a seção Ações sugeridas para obter detalhes de como instalar esta atualização.

O que é o Mecanismo de Proteção Contra Malware da Microsoft?  
O Mecanismo de Proteção Contra Malware da Microsoft, mpengine.dll, fornece os recursos de verificação, detecção e limpeza para os software antivírus e anti-spyware.

Onde eu posso encontrar mais informações sobre a tecnologia de antimalware da Microsoft? 
Para obter mais informações, visite o site do Centro de proteção contra malware da Microsoft.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de negação de serviço (site em inglês).

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o Mecanismo de Proteção contra Malware da Microsoft não verifica um arquivo especialmente criado corretamente, o que leva a verificação ao tempo limite.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que tenha explorado esta vulnerabilidade com sucesso poderá impedir que o Mecanismo de Proteção contra Malware da Microsoft monitore sistemas afetados até que o arquivo especialmente criado seja removido manualmente e o serviço seja reiniciado.

De que forma o invasor pode explorar a vulnerabilidade? 
Para explorar esta vulnerabilidade, um arquivo especialmente criado deve ser lido por uma versão afetada do Mecanismo de Proteção Contra Malware da Microsoft. Há muitas maneiras de o invasor colocar um arquivo especialmente criado num local que seja verificado pelo Mecanismo de proteção contra malware da Microsoft. Por exemplo, o invasor pode usar um site para entregar um arquivo especialmente criado ao sistema da vítima que seja verificado quando o site for visto pelo usuário. O invasor também pode entregar um arquivo especialmente criado por uma mensagem de email ou numa mensagem de mensagem instantânea que é verificada quando o arquivo é aberto. Além disso, o invasor pode aproveitar sites que aceitam ou hospedam conteúdo fornecido ao usuário, carregar um arquivo especialmente criado em um local compartilhado que seja verificado pelo Mecanismo de proteção contra malware da Microsoft executado no servidor que hospeda.

Se o software anti-malware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará os arquivos automaticamente, levando à exploração da vulnerabilidade assim que o arquivo especialmente criado for verificado. Se a verificação em tempo real não estiver ativada, o invasor deverá esperar até que uma verificação programada ocorra para que a vulnerabilidade seja explorada e tenha controle total do sistema afetado.

Além disso, a exploração da vulnerabilidade pode ocorrer quando o sistema é digitalizado usando a versão afetada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT).

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sistemas que executam uma versão de software anti-malware afetado são os que correm mais risco.

O que a atualização faz? 
A atualização trata a vulnerabilidade corrigindo a maneira como o Mecanismo de Proteção contra Malware da Microsoft verifica arquivos especialmente criados.

Quando esse comunicado de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este comunicado de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

  • Verificar se a atualização está instalada

    Os clientes devem verificar se a última versão do Mecanismo de Proteção Contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos de anti-malware da Microsoft.

    Para obter mais informações sobre como verificar o número de versão do Mecanismo de proteção contra malware da Microsoft usado atualmente pelo software, consulte a seção, "Verificando instalação da atualização", no artigo 2510781 (em inglês) da Microsoft Knowledge Base.

    Para software afetado, verifique se a versão do Mecanismo de Proteção contra Malware da Microsoft é 1.1.10701.0 ou posterior.

  • Se for necessário, instale a atualização

    Os administradores de implantações de anti-malware empresariais devem garantir que seus softwares de gerenciamento de atualização sejam configurados automaticamente para aprovar e distribuir atualizações de mecanismo e novas definições de software mal-intencionado. Os administradores de empresa também devem verificar se a última versão do Mecanismo de Proteção Contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.

    Para usuários finais, o software afetado fornece mecanismos incorporados para a detecção automática e implantação desta atualização. Para estes clientes a atualização será aplicada dentro de 48 horas de sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software de anti-malware.

    Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção Contra Malware da Microsoft e as definições de malware, consulte o artigo 2510781 (em inglês) da Microsoft Knowledge Base ou a seção, Perguntas frequentes (FAW) sobre este comunicado.

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

  • Tavis Ormandy, da Google Project Zero, por trabalhar conosco na Vulnerabilidade de negação de serviço no Mecanismo de Proteção contra Malware da Microsoft (CVE-2014-2779)

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (17 de junho de 2014): Comunicado publicado.

Página gerada em 17-06-2014 12:01Z 07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft