Microsoft 安全咨询3074162

Microsoft 恶意软件删除工具中的漏洞可能允许提升权限

发布时间: 2015 年 7 月 14 日

版本: 1.0

执行摘要

Microsoft 正在发布此安全公告,告知客户,Microsoft 恶意软件删除工具(MSRT)的更新可用于解决向 Microsoft 报告的安全漏洞。 如果攻击者登录到目标系统并将特制的动态链接库(.dll)文件放置在本地目录中,则此漏洞可能会允许提升特权。 成功利用漏洞的经过身份验证的攻击者可以提升目标系统上的特权。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。

企业安装的管理员管理员应遵循其既定的内部流程,以确保更新在其更新管理软件中获得批准,并且客户端会相应地使用更新。

通常,企业管理员或最终用户无需执行任何操作即可安装 Microsoft 恶意软件删除工具的更新,因为自动检测和部署更新的内置机制将在发布后的 48 小时内应用更新。 确切的时间范围取决于所使用的软件、Internet 连接和基础结构配置。

咨询详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
CVE 参考 CVE-2015-2418
受此漏洞影响的 Microsoft 恶意软件删除工具的最新版本 版本 5.25。
解决了此漏洞的 Microsoft 恶意软件删除工具的第一个版本 版本 5.26*

*如果 Microsoft 恶意软件删除工具的版本等于或大于此版本,则不会受到此漏洞的影响,并且无需采取任何进一步操作。 有关如何验证软件当前使用的引擎版本号的详细信息,请参阅 Microsoft 知识库文章2510781中的“正在验证更新安装”部分。

受影响的软件

此公告讨论以下软件。

受影响的软件的漏洞严重性分级和最大安全影响
反恶意软件 MSRT 争用条件漏洞 - CVE-2015-2418
Microsoft 恶意软件删除工具[1](3074162) 重要 特权提升

[1]仅适用于 2015 年 5 月或早期版本的 Microsoft 恶意软件删除工具。

Exploitability Index

下表提供对此公告中解决的漏洞的可利用性评估。

如何实现使用此表?

使用此表可了解在此公告发布后的 30 天内释放运行攻击代码的可能性。 应根据特定配置查看以下评估,以便确定部署的优先级。 有关这些分级的含义及其确定方式的详细信息,请参阅 Microsoft Exploitability Index

漏洞标题 **CVE ID ** 最新软件版本的可利用性评估 旧版软件的可利用性评估 特权提升利用性评估 关键说明
MSRT 争用条件漏洞 CVE-2015-2418 3 - 开发不太可能 3 - 开发不太可能 永久性 这是特权提升漏洞。\ \ 利用此漏洞可能会导致操作系统或应用程序在手动重启之前永久无响应。 它还可能导致应用程序意外关闭或退出,而无需自动恢复。

咨询常见问题解答

Microsoft 是否发布安全公告来解决此漏洞?
否。 Microsoft 正在发布此信息性安全公告,以通知客户 Microsoft 恶意软件删除工具的更新解决了向 Microsoft 报告的安全漏洞。

通常,企业管理员或最终用户无需执行任何操作即可安装此更新。

为什么安装此更新通常不需要执行任何操作?
为了应对不断变化的威胁环境,Microsoft 经常更新 Microsoft 反恶意软件,包括 Microsoft 恶意软件删除工具。 为了有效地帮助防止新的和普遍的威胁,反恶意软件必须及时保持最新和更新。

对于企业部署和最终用户,Microsoft 反恶意软件中的默认配置有助于确保 Microsoft 恶意软件删除工具自动保持最新状态。 产品文档还建议为产品配置自动更新。

最佳做法建议客户定期验证软件分发(如 Microsoft 恶意软件删除工具更新的自动部署)是否按预期工作。

如何安装更新?
有关如何安装此更新的详细信息,请参阅建议的操作部分

在哪里可以找到有关 Microsoft 反恶意软件技术的详细信息?
有关详细信息,请访问Microsoft 恶意软件防护中心网站。

漏洞信息

MSRT 争用条件漏洞 - CVE-2015-2418

Microsoft 恶意软件删除工具(MSRT)中存在特权提升漏洞,因为它无法正确处理涉及 DLL 种植方案的争用条件。 成功利用此漏洞的经过身份验证的攻击者可以提升目标系统上的特权。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。

若要利用漏洞,攻击者必须登录到目标系统,并将特制的动态链接库(.dll)文件放置在本地目录中。 然后,攻击者必须等待用户运行 MSRT,从而运行攻击者的恶意代码,以有效提高目标系统上的权限。 更新通过更正 MSRT 如何处理争用条件来解决漏洞。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

Microsoft 尚未识别此漏洞的任何 解决方法

建议的操作

  • 验证是否已安装更新

    客户应验证 Microsoft 恶意软件删除工具和定义更新的最新版本是否正在主动下载并安装其 Microsoft 反恶意软件产品。

    有关如何验证软件当前正在使用的 Microsoft 恶意软件删除工具的版本号的详细信息,请参阅 Microsoft 知识库文章2510781中的“验证更新安装”部分。

    对于受影响的软件,请验证 Microsoft 恶意软件删除工具版本是否为 5.26 或更高版本。

  • 如有必要,请安装更新

    管理员企业反恶意软件部署的管理员应确保其更新管理软件配置为自动批准和分发引擎更新和新恶意软件定义。 企业管理员还应验证 Microsoft 恶意软件删除工具和定义更新的最新版本是否正在其环境中主动下载、批准和部署。

    管理员istrators 还可以通过 Microsoft 下载中心获取更新(有关相关下载中心页面的链接,请参阅此公告中的“受影响的软件”表)。

    对于最终用户,受影响的软件为自动更新的自动检测和部署提供内置机制。 对于这些客户,更新将在可用性后的 48 小时内应用。 确切的时间范围取决于所使用的软件、Internet 连接和基础结构配置。 不希望等待的最终用户可以手动更新其反恶意软件。

    有关如何手动更新 Microsoft 恶意软件删除工具和恶意软件定义的详细信息,请参阅 Microsoft 知识库文章2510781

其他信息

Microsoft Active Protections 计划 (MAPP)

为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴列出。

反馈

支持

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2015 年 7 月 14 日):已发布公告。

页面生成的 2015-07-23 9:46Z-07:00。