Microsoft 安全性布告欄 MS15-111 - 重要

Windows 核心的安全性更新，以解決特權提升問題 （3096447）

發佈時間： 2015 年 10 月 13 日 |更新日期：2015年10月29日

版本： 1.2

執行摘要

此安全性更新可解決 Microsoft Windows 中的弱點。 如果攻擊者登入受影響的系統並執行特製的應用程式，則更嚴重的弱點可能會允許提高許可權。

注意 使用本機和遠端報告證明解決方案的客戶，應檢閱本公告中所討論 CVE-2015-2552 的詳細數據。

此安全性更新已針對所有支援的 Microsoft Windows 版本評為重要。 如需詳細資訊，請參閱 受影響的軟體 一節。

安全性更新可藉由修正 Windows 核心如何處理記憶體中的物件、修正 Windows 如何處理涉及連接點和裝入點建立的特定案例，以及改善 Windows 剖析開機設定數據 （BCD） 的方式，來解決弱點。 如需弱點的詳細資訊，請參閱 弱點資訊 一節。

如需此更新的詳細資訊，請參閱 Microsoft 知識庫文章3096447。

受影響的軟體

下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期，要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期，請參閱 Microsoft 支援服務 生命週期。

^[1]此更新只能透過 Windows Update 取得。

^[2]Windows 10 更新是累積的。 除了包含非安全性更新之外，它也包含隨附於本月安全性版本之所有 Windows 10 受影響弱點的所有安全性修正程式。 更新可透過 Windows Update 目錄取得。 如需詳細資訊和下載連結，請參閱 Microsoft 知識庫文章3097617 。

*更新 已取代數據行只會顯示任何已取代更新鏈結中的最新更新。 如需已取代的更新完整清單，請移至 Microsoft Update Catalog，搜尋更新 KB 編號，然後檢視更新詳細數據（更新取代的資訊是在 [套件詳細數據] 索引標籤上提供。

注意 Windows Server Technical Preview 3 受到影響。 鼓勵執行此操作系統的客戶套用可透過 Windows Update 取得的更新。 

更新常見問題

我執行 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1。 為什麼我未收到3088195更新？
若要提供 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的3088195安全性更新，2919355更新必須安裝在系統上。 如需詳細資訊，請參閱 Microsoft 知識庫文章2919355。

嚴重性評等和弱點標識碼

下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行的 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊，請參閱 10 月公告摘要中的惡意探索性索引。

弱點資訊

多個 Windows 核心提升許可權弱點

Windows 核心處理記憶體中物件的方式存在多個特權提升弱點。 成功利用弱點的攻擊者可以在核心模式中執行任意程序代碼。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。

若要利用弱點，攻擊者必須先登入系統。 攻擊者接著可以執行特製的應用程式，以利用弱點並控制受影響的系統。 更新會修正 Windows 核心如何處理記憶體中的物件，以解決弱點。

緩和因素

下列 緩和因素 可能對您的情況有所説明：

• 攻擊者必須具備有效的登入認證，而且能夠在本機登入以惡意探索 CVE-2015-2554。

因應措施

Microsoft 尚未識別此弱點的任何 因應措施 。

受信任的開機安全性功能略過弱點 - CVE-2015-2552

當 Windows 無法正確強制執行 Windows 信任開機 原則時，就存在安全性功能略過弱點。 成功惡意探索此弱點的攻擊者可能會停用程式代碼完整性檢查，允許在目標裝置上載入測試簽署的可執行檔和驅動程式。 此外，攻擊者可以略過 BitLocker 和裝置加密安全性功能的受信任開機完整性驗證。

已取得系統管理許可權或實體存取目標裝置的攻擊者，可能會套用惡意製作的開機設定資料 （BCD） 設定來利用弱點。 安全性更新可藉由改善 Windows 剖析 BCD 的方式來解決弱點。

此弱點已公開披露。 它已被指派常見弱點和暴露號碼 CVE-2015-2552。 在最初發出此安全性公告時，Microsoft 並不知道任何嘗試利用此弱點的攻擊。

緩和因素

下列 緩和因素 可能對您的情況有所説明：

• 若要惡意探索弱點，攻擊者必須具有目標裝置的系統管理許可權或實體存取權。

因應措施

下列 因應措施 可能對您的情況有所説明：

• 設定 BitLocker 以使用信任的平臺模組 （TPM）+PIN 保護
  若要啟用 TPM 和 PIN 保護裝置，請啟用增強型保護組策略，如下所示：

  1. 按兩下 [開始]，按兩下 [執行]，輸入 gpedit.msc，然後按兩下 [ 確定 ] 開啟 [本地組原則編輯器]。

  2. 在 [本機計算機原則] 底覽至 管理員 範本 > Windows 元件 > BitLocker 磁碟驅動器加密>操作系統磁碟驅動器。

  3. 在右側窗格中，按兩下 [ 啟動時需要其他驗證]。

  4. 在出現的對話框中，按兩下 [已啟用]。

  5. 在 [選項] 底下，選取 [需要 TPM]，並使用 TPM 要求啟動 PIN。

  6. 按兩下 [ 套用 ] 並關閉 [本地組原則編輯器]。

  7. 以 管理員 istrator 權限開啟命令提示字元，然後輸入下列命令：

     manage-bde -protectors -add c: <or os="OS" volume="volume" letter="letter">-tpmandpin
     

  8. 出現提示時輸入 PIN。

  9. 重新啟動系統。  

  因應措施的影響。 每次電腦重新啟動時，用戶都必須輸入 PIN。

  如何複原因應措施：

  1. 按兩下 [開始]，按兩下 [執行]，輸入 gpedit.msc，然後按兩下 [ 確定 ] 開啟 [本地組原則編輯器]。

  2. 在 [本機計算機原則] 底覽至 [管理員 範本>] [Windows 元件>][BitLocker 磁碟驅動器加密>操作系統磁碟驅動器]。

  3. 在右側窗格中，按兩下 [ 啟動時需要其他驗證]。

  4. 在出現的對話框中，按兩下 [已啟用]。

  5. 在 [選項] 底下，取消選取 [允許 TPM] 和 [允許使用 TPM 啟動 PIN]。

  6. 按兩下 [ 套用 ] 並關閉 [本地組原則編輯器]。

  7. 以 管理員 istrator 權限開啟命令提示字元，然後輸入下列命令：

     manage-bde -protectors -add c: -tpm
     

  8. 重新啟動系統。  

• 停用 BitLocker 的安全開機完整性保護驗證
  若要停用安全開機完整性驗證，您必須先暫時暫停 BitLocker 保護。 依照顯示的順序遵循下列步驟：

  1. 暫止 BitLocker 保護
     1. 開啟 控制台，按兩下 [系統和安全性]，然後按兩下 [BitLocker 磁碟驅動器加密]。
     2. 按兩下 [ 暫停保護 ]，然後在要求確認時按兩下 [ 是 ]。
     3. 關閉 控制台。
  2. 停用安全開機
     1. 按兩下 [開始]，按兩下 [執行]，輸入 gpedit.msc，然後按兩下 [ 確定 ] 開啟 [本地組原則編輯器]。
     2. 在 [本機計算機原則] 下，流覽至 [管理員 範本>] [Windows 元件>][BitLocker 磁碟驅動器加密>操作系統磁碟驅動器]。
     3. 按兩下 [ 允許安全開機] 進行完整性驗證。
     4. 在出現的對話框中，按兩下 [ 已停用]。
     5. 按兩下 [ 套用 ] 並關閉 [本地組原則編輯器]。
  3. 繼續 BitLocker 保護
     1. 開啟 控制台，按兩下 [系統和安全性]，然後按兩下 [BitLocker 磁碟驅動器加密]。
     2. 按兩下 [ 繼續保護]。
     3. 關閉 控制台。  

  因應措施的影響。 停用安全開機完整性驗證可能會導致系統在更新韌體版本或 BCD 設定時更頻繁地輸入 BitLocker 復原。

  如何複原因應措施： 

  若要啟用安全開機完整性驗證，您必須先暫時暫停 BitLocker 保護。 依照顯示的順序遵循下列步驟：

  1. 暫止 BitLocker 保護
     1. 開啟 控制台，按兩下 [系統和安全性]，然後按兩下 [BitLocker 磁碟驅動器加密]。
     2. 按兩下 [ 暫停保護 ]，然後在要求確認時按兩下 [ 是 ]。
     3. 關閉 控制台。
  2. 啟用安全開機
     1. 按兩下 [開始]，按兩下 [執行]，輸入 gpedit.msc，然後按兩下 [ 確定 ] 開啟 [本地組原則編輯器]。
     2. 在 [本機計算機原則] 底覽至 [管理員 原則] [>Windows 元件>] [BitLocker 磁碟驅動器加密>操作系統磁碟驅動器]。
     3. 按兩下 [ 允許安全開機] 進行完整性驗證。
     4. 在出現的對話框中，按兩下 [已啟用]。
     5. 按兩下 [ 套用 ] 並關閉 [本地組原則編輯器]。
  3. 繼續 BitLocker 保護
     1. 開啟 控制台，按兩下 [系統和安全性]，然後按兩下 [BitLocker 磁碟驅動器加密]。
     2. 按兩下 [ 繼續保護]。
     3. 關閉 控制台。

弱點常見問題

Microsoft Windows 10 裝置健康情況證明服務所產生的裝置健康情況證明（或處理 TCG 記錄的其他本機或遠端證明解決方案，例如 PCPTool）是否受此弱點影響？
是。 處理 TPM TCG 記錄所擷取/記錄之測量的本機和遠端報告證明解決方案會受到此弱點的影響。 在未來的版本中，Microsoft 可讓 IT 管理員使用 Microsoft 裝置健康情況證明 - 雲端服務從遠端偵測此弱點。

Windows 裝入點特權提升弱點 - CVE-2015-2553

當 Windows 在建立裝入點的特定案例中，驗證連接點時，許可權提升弱點就存在。 成功惡意探索此弱點的攻擊者可能會在執行遭入侵應用程式之使用者的安全性內容中執行任意程序代碼。

若要惡意探索此弱點，攻擊者很可能必須利用另一個弱點，讓攻擊者能夠在沙盒化應用程式中執行任意程序代碼。 更新會修正 Windows 處理涉及連接點和裝入點建立的特定案例的方式，以解決弱點。

此弱點已公開披露。 它已獲指派常見弱點和暴露號碼 CVE-2015-2553。 在最初發出此安全性公告時，Microsoft 並不知道任何嘗試利用此弱點的攻擊。

緩和因素

Microsoft 尚未識別此弱點的任何 緩和因素 。

因應措施

Microsoft 尚未識別此弱點的任何 因應措施 。

安全性更新部署

如需安全性更新部署資訊，請參閱執行摘要中參考的 Microsoft 知識庫文章。

通知

Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊，請參閱通知。

免責聲明

Microsoft 知識庫中提供的資訊會「如實」提供，而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保，包括適銷性及適合特定用途的擔保。 任何情況下，Microsoft Corporation 或其供應商都不得承擔任何損害責任，包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害，即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任，因此可能不適用上述限制。

修訂記錄

• V1.0 （2015 年 10 月 13 日）： 公告發佈。
• V1.1 （2015 年 10 月 16 日）：公告已修訂公告 Windows 10 3097617累積更新中的偵測變更。 這隻是偵測變更。 已成功更新其系統的客戶不需要採取任何動作。
• V1.2 （2015 年 10 月 29 日）：已修訂公告所有支援的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 3088195更新中的偵測變更。 偵測變更會暫時封鎖將3088195更新部署至執行與更新不相容之特定 USB 封鎖程式軟體版本的系統。 如需詳細資訊，請參閱 Microsoft 知識庫文章3088195。 注意：這隻是偵測變更。 已成功更新其系統的客戶不需要採取任何動作。

頁面產生的 2015-10-29 10：06-07：00。