安全公告
Microsoft 安全咨询2846338
Microsoft 恶意软件保护引擎中的漏洞可能导致远程代码执行
发布时间: 2013 年 5 月 14 日
版本: 1.0
常规信息
执行摘要
Microsoft 正在发布此安全公告,以帮助确保客户知道 Microsoft 恶意软件保护引擎的更新也解决了向 Microsoft 报告的安全漏洞。 如果 Microsoft 恶意软件保护引擎扫描特殊设计的文件,更新会解决一个漏洞,该漏洞可能允许远程代码执行。 成功利用此漏洞的攻击者可以在 LocalSystem 帐户的安全上下文中执行任意代码,并完全控制系统。
此漏洞已被公开披露为拒绝服务。
Microsoft 恶意软件防护引擎是多个 Microsoft 反恶意软件产品的一部分。 有关受影响的产品列表,请参阅“受影响的软件”部分。 Microsoft 恶意软件保护引擎汇报随受影响产品的更新恶意软件定义一起安装。 企业安装的管理员管理员应遵循其既定的内部流程,以确保定义和引擎更新在其更新管理软件中得到批准,并且客户端相应地使用更新。
通常,企业管理员或最终用户无需执行任何操作即可安装 Microsoft 恶意软件保护引擎的更新,因为自动检测和部署更新的内置机制将在接下来的 48 小时内应用更新。 确切的时间范围取决于所使用的软件、Internet 连接和基础结构配置。
缓解因素:
- 仅影响基于 x64 的恶意软件防护引擎版本。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| CVE 参考 | CVE-2013-1346 |
| 受此漏洞影响的 Microsoft 恶意软件防护引擎的上一版本 | 版本 1.1.9402.0 |
| 解决了此漏洞的 Microsoft 恶意软件防护引擎的第一个版本 | 版本 1.1.9506.0* |
*如果 Microsoft 恶意软件防护引擎的版本等于或大于此版本,则不会受到此漏洞的影响,并且无需采取任何进一步操作。 有关如何验证软件当前使用的引擎版本号的详细信息,请参阅 Microsoft 知识库文章2510781中的“正在验证更新安装”部分。
受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请访问Microsoft 支持部门生命周期。
Microsoft 恶意软件防护引擎是多个 Microsoft 反恶意软件产品的一部分。 根据安装了受影响的 Microsoft 反恶意软件产品,此更新可能具有不同的严重性分级。 以下严重性分级假定漏洞的潜在最大影响。
受影响的软件
| 反恶意软件 | Microsoft 恶意软件防护引擎漏洞 - CVE-2013-1346 |
|---|---|
| Microsoft Forefront Client Security (x64) | 重要 \ 远程代码执行 |
| Microsoft Forefront Endpoint Protection 2010 (x64) | 重要 \ 远程代码执行 |
| Microsoft Forefront Security for SharePoint Service Pack 3 (x64) | 重要 \ 远程代码执行 |
| Microsoft System Center 2012 Endpoint Protection (x64) | 重要 \ 远程代码执行 |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) | 重要 \ 远程代码执行 |
| Microsoft 恶意软件删除工具 (x64)[1] | 重要 \ 远程代码执行 |
| Microsoft Security Essentials (x64) | 重要 \ 远程代码执行 |
| Microsoft Security Essentials 预发行版 (x64) | 重要 \ 远程代码执行 |
| Windows Defender for Windows 8 (x64) | 重要 \ 远程代码执行 |
| Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 (x64) | 重要 \ 远程代码执行 |
| Windows Defender 脱机版 (x64) | 重要 \ 远程代码执行 |
| Windows Intune Endpoint Protection (x64) | 重要 \ 远程代码执行 |
[1]仅适用于 2013 年 4 月或早期版本的 Microsoft 恶意软件删除工具。
受影响的软件
| 反恶意软件 |
|---|
| 不运行恶意软件保护引擎 |
| Microsoft Forefront Server Security Management Console |
| Microsoft Internet 安全和加速 (ISA) 服务器 |
| 不运行恶意软件防护引擎的易受攻击版本 |
| Microsoft Antigen for Exchange |
| 适用于 SMTP 网关的 Microsoft Psa |
| 适用于 Linux 的 Microsoft System Center 2012 Endpoint Protection |
| Microsoft System Center 2012 Endpoint Protection for Mac |
| Microsoft Forefront Protection 2010 for Exchange Server |
| Microsoft Forefront Security for Exchange Server Service Pack 2 |
| 适用于 办公室 Communications Server 的 Microsoft Forefront Security |
| Microsoft Forefront Threat Management Gateway 2010 |
| Microsoft Forefront Client Security (x86) |
| Microsoft Forefront Endpoint Protection 2010 (x86) |
| Microsoft Forefront Security for SharePoint Service Pack 3 (x86) |
| Microsoft 恶意软件删除工具 (x86) |
| Microsoft Security Essentials (x86) |
| Microsoft Security Essentials 预发行版 (x86) |
| Microsoft System Center 2012 Endpoint Protection (x86) |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86) |
| Microsoft System Center 2012 Endpoint Protection for Mac Service Pack 1 |
| Windows Defender for Windows 8 (x86) |
| Windows Defender for Windows RT |
| Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 (x86) |
| Windows Defender 脱机版 (x86) |
| Windows Intune Endpoint Protection (x86) |
Exploitability Index
下表提供对此公告中解决的漏洞的可利用性评估。
如何实现使用此表?
使用此表可了解在此公告发布后的 30 天内释放运行攻击代码的可能性。 应根据特定配置查看以下评估,以便确定部署的优先级。 有关这些分级的含义及其确定方式的详细信息,请参阅 Microsoft Exploitability Index。
| 漏洞标题 | CVE ID | 最新软件版本的可利用性评估 | 旧版软件的可利用性评估 | 拒绝服务利用性评估 | 关键说明 |
|---|---|---|---|---|---|
| Microsoft 恶意软件防护引擎漏洞 | CVE-2013-1346 | 2 - 攻击代码难以生成 | 2 - 攻击代码难以生成 | 临时 | 只有 x64 版本的恶意软件防护引擎受到影响。\ \ 此漏洞已公开披露为拒绝服务。 |
咨询常见问题解答
Microsoft 是否发布安全公告来解决此漏洞?
否。 Microsoft 正在发布此信息性安全公告,以帮助确保客户知道此 Microsoft 恶意软件保护引擎更新还解决了向 Microsoft 报告的安全漏洞。
通常,企业管理员或最终用户无需执行任何操作即可安装此更新。
为什么安装此更新通常不需要执行任何操作?
为了响应不断变化的威胁环境,Microsoft 经常更新恶意软件定义和 Microsoft 恶意软件保护引擎。 为了有效地帮助防止新的和普遍的威胁,反恶意软件必须及时更新这些更新。
对于企业部署和最终用户,Microsoft 反恶意软件中的默认配置有助于确保恶意软件定义和 Microsoft 恶意软件保护引擎自动保持最新状态。 产品文档还建议为产品配置自动更新。
最佳做法建议客户定期验证软件分发(例如自动部署 Microsoft 恶意软件防护引擎更新和恶意软件定义)是否按预期工作。
Microsoft 恶意软件防护引擎和恶意软件定义更新的频率如何?
Microsoft 通常会每月发布一次 Microsoft 恶意软件防护引擎的更新,或根据需要发布一次,以防止新威胁。 Microsoft 通常还会每天更新三次恶意软件定义,并在需要时增加频率。
根据使用哪个 Microsoft 反恶意软件及其配置方式,软件可以在连接到 Internet 时搜索引擎和定义更新,每天最多多次。 客户还可以选择随时手动检查更新。
如何安装更新?
有关如何安装此更新的详细信息,请参阅建议的操作部分。
什么是 Microsoft 恶意软件防护引擎?
Microsoft 恶意软件保护引擎(mpengine.dll)为 Microsoft 防病毒和反间谍软件提供扫描、检测和清理功能。 有关详细信息,请参阅此公告后面的 Microsoft 恶意软件保护引擎部署部分。
在哪里可以找到有关 Microsoft 反恶意软件技术的详细信息?
有关详细信息,请访问Microsoft 恶意软件防护中心网站。
Microsoft 恶意软件防护引擎漏洞常见问题解答 - CVE-2013-1346
漏洞的范围是什么?
这是远程代码执行漏洞。
导致漏洞的原因是什么?
当 Microsoft 恶意软件保护引擎无法正确扫描导致内存损坏的特制文件时,会导致漏洞。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在 LocalSystem 帐户的安全上下文中执行任意代码,并完全控制系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
什么是 LocalSystem 帐户?
LocalSystem 帐户是服务控制管理器使用的预定义本地帐户。 它在本地计算机上具有广泛的特权,并充当网络上的计算机。 其令牌包括 NT AUTHORITY\SYSTEM 和 BUILTIN\管理员istrators SID;这些帐户有权访问大多数系统对象。 在 LocalSystem 帐户的上下文中运行的服务继承服务控制管理器的安全上下文。 大多数服务不需要如此高的特权级别。 有关详细信息,请参阅 MSDN 文章 LocalSystem 帐户。
攻击者如何利用漏洞?
若要利用此漏洞,必须通过受影响的 Microsoft 恶意软件保护引擎版本扫描特制文件。 攻击者可以通过多种方式将特制的文件放置在 Microsoft 恶意软件保护引擎扫描的位置。 例如,攻击者可以使用网站将特制的文件传递到受害者的系统,该系统在用户查看网站时扫描。 攻击者还可以通过电子邮件或在打开文件时扫描的 Instant Messenger 消息中传递专门制作的文件。 此外,攻击者可以利用接受或托管用户提供的内容的网站,将特制的文件上传到托管服务器上运行的恶意软件保护引擎扫描的共享位置。
如果受影响的反恶意软件已启用实时保护,Microsoft 恶意软件防护引擎将自动扫描文件,从而导致在扫描特制文件时利用漏洞。 如果未启用实时扫描,攻击者需要等到计划扫描发生才能利用漏洞。
此外,使用受影响的恶意软件删除工具(MSRT)扫描系统时,可能会利用漏洞。
哪些系统主要面临漏洞的风险?
运行受影响 64 位版本的反恶意软件的系统主要面临风险。
更新的作用是什么?
此更新通过更正 Microsoft 恶意软件防护引擎扫描特制文件的方式来解决漏洞。
发出此安全公告后,是否已公开披露此漏洞?
是的。 此漏洞已被公开披露为拒绝服务。 它已分配有常见漏洞和暴露 CVE-2013-1346。
发出此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
建议的操作
验证是否已安装更新
客户应验证 Microsoft 恶意软件保护引擎的最新版本和定义更新是否正在主动下载并安装其 Microsoft 反恶意软件产品。
有关如何验证软件当前正在使用的 Microsoft 恶意软件保护引擎的版本号的详细信息,请参阅 Microsoft 知识库文章2510781中的“验证更新安装”部分。
对于受影响的软件,请验证 Microsoft 恶意软件防护引擎版本是否为 1.1.9506.0 或更高版本。
如有必要,请安装更新
管理员企业反恶意软件部署的管理员应确保其更新管理软件配置为自动批准和分发引擎更新和新恶意软件定义。 企业管理员还应验证最新版本的 Microsoft 恶意软件防护引擎和定义更新是否正在其环境中主动下载、批准和部署。
对于最终用户,受影响的软件为自动更新的自动检测和部署提供内置机制。 对于这些客户,更新将在可用性后的 48 小时内应用。 确切的时间范围取决于所使用的软件、Internet 连接和基础结构配置。 不希望等待的最终用户可以手动更新其反恶意软件。
有关如何手动更新 Microsoft 恶意软件防护引擎和恶意软件定义的详细信息,请参阅 Microsoft 知识库文章2510781。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- Argyll CMS 的 Graeme Gill,用于与我们合作处理 Microsoft 恶意软件防护引擎漏洞 (CVE-2013-1346)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
- 帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
- 根据国家/地区提供本地支持: 国际支持
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 5 月 14 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00