Microsoft Security Advisory 4022344
Aggiornamento della sicurezza per microsoft Malware Protection Engine
Pubblicato: 8 maggio 2017 | Aggiornamento: 12 maggio 2017
Versione: 1.2
Schema riepilogativo
Microsoft sta rilasciando questo avviso di sicurezza per informare i clienti che un aggiornamento al motore di protezione malware Microsoft risolve una vulnerabilità di sicurezza segnalata a Microsoft.
L'aggiornamento risolve una vulnerabilità che potrebbe consentire l'esecuzione di codice remoto se microsoft Malware Protection Engine analizza un file appositamente creato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem e assumere il controllo del sistema.
Microsoft Malware Protection Engine viene fornito con diversi prodotti Microsoft antimalware. Per un elenco dei prodotti interessati, vedere la sezione Software interessato. Aggiornamenti al motore di protezione malware Microsoft vengono installati insieme alle definizioni di malware aggiornate per i prodotti interessati. Amministrazione istrator di installazioni aziendali devono seguire i processi interni stabiliti per garantire che la definizione e gli aggiornamenti del motore siano approvati nel software di gestione degli aggiornamenti e che i client utilizzano di conseguenza gli aggiornamenti.
In genere, non è necessaria alcuna azione da parte degli amministratori aziendali o degli utenti finali per installare gli aggiornamenti per il motore di Protezione malware Microsoft, perché il meccanismo predefinito per il rilevamento automatico e la distribuzione degli aggiornamenti applicherà l'aggiornamento entro 48 ore dal rilascio. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura.
Le informazioni contenute in questo avviso sono disponibili anche nella Guida agli aggiornamenti della sicurezza a cui fa riferimento CVE-2017-0290.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Ultima versione del motore di protezione malware Microsoft interessata da questa vulnerabilità | Versione 1.1.13701.0 |
| Prima versione del motore di protezione malware Microsoft con questa vulnerabilità risolta | Versione 1.1.13704.0 |
* Se la versione del motore di protezione malware Microsoft è uguale o maggiore di questa versione, non si è interessati da questa vulnerabilità e non è necessario eseguire ulteriori azioni. Per altre informazioni su come verificare il numero di versione del motore in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
| Antimalware Software | Vulnerabilità di esecuzione remota del codice del motore di protezione malware Microsoft- CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Critico \ Esecuzione di codice remoto |
| Microsoft Endpoint Protection | Critico \ Esecuzione di codice remoto |
| Microsoft System Center Endpoint Protection | Critico \ Esecuzione di codice remoto |
| Microsoft Security Essentials | Critico \ Esecuzione di codice remoto |
| Windows Defender per Windows 7 | Critico \ Esecuzione di codice remoto |
| Windows Defender per Windows 8.1 | Critico \ Esecuzione di codice remoto |
| Windows Defender per Windows RT 8.1 | Critico \ Esecuzione di codice remoto |
| Windows Defender per Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Critico \ Esecuzione di codice remoto |
| Windows Intune Endpoint Protection | Critico \ Esecuzione di codice remoto |
| Microsoft Exchange Server 2013 | Critico \ Esecuzione di codice remoto |
| Microsoft Exchange Server 2016 | Critico \ Esecuzione di codice remoto |
| Microsoft Windows Server 2008 R2 | Critico \ Esecuzione di codice remoto |
Indice di sfruttabilità
La tabella seguente fornisce una valutazione dell'sfruttabilità di ognuna delle vulnerabilità risolte questo mese. Le vulnerabilità sono elencate in ordine di ID bollettino e quindi ID CVE. Sono incluse solo le vulnerabilità con una classificazione di gravità critica o importante nei bollettini.
Ricerca per categorie usare questa tabella?
Usare questa tabella per informazioni sulla probabilità di esecuzione del codice e attacchi Denial of Service entro 30 giorni dalla versione del bollettino sulla sicurezza, per ognuno degli aggiornamenti della sicurezza che potrebbe essere necessario installare. Esaminare ognuna delle valutazioni seguenti, in base alla configurazione specifica, per classificare in ordine di priorità la distribuzione degli aggiornamenti di questo mese. Per altre informazioni sul significato di queste classificazioni e su come vengono determinate, vedere Microsoft Exploitability Index.For more information about what these ratings mean, and how they are determined, please see Microsoft Exploitability Index.
Nelle colonne seguenti, "Latest Software Release" si riferisce al software soggetto e "Versioni precedenti del software" si riferisce a tutte le versioni precedenti, supportate del software soggetto, come indicato nelle tabelle "Software interessato" e "Software non interessato" nel bollettino.
| CVE ID | Titolo della vulnerabilità | Valutazione dell'exploitbilità per\ Versione più recente del software | Valutazione dell'exploitbilità per\ Versione precedente del software | Denial of Service\ Valutazione dell'exploit |
|---|---|---|---|---|
| CVE-2017-0290 | Vulnerabilità di danneggiamento della memoria del motore di scripting | 2 - Sfruttamento meno probabile | 2 - Sfruttamento meno probabile | Non applicabile |
Domande frequenti sugli avvisi
Microsoft rilascia un bollettino sulla sicurezza per risolvere questa vulnerabilità?
No. Microsoft sta rilasciando questo avviso di sicurezza informativa per informare i clienti che un aggiornamento al motore di protezione malware Microsoft risolve una vulnerabilità di sicurezza segnalata a Microsoft.
In genere, non è necessaria alcuna azione da parte degli amministratori dell'organizzazione o degli utenti finali per installare questo aggiornamento.
Perché non è necessaria alcuna azione per installare questo aggiornamento?
In risposta a un panorama delle minacce in continua evoluzione, Microsoft aggiorna frequentemente le definizioni di malware e microsoft Malware Protection Engine. Per essere efficaci per proteggere da minacce nuove e prevalenti, il software antimalware deve essere aggiornato con questi aggiornamenti in modo tempestivo.
Per le distribuzioni aziendali e gli utenti finali, la configurazione predefinita nel software antimalware Microsoft consente di garantire che le definizioni di malware e il motore di protezione malware Microsoft vengano mantenute aggiornate automaticamente. La documentazione del prodotto consiglia anche che i prodotti siano configurati per l'aggiornamento automatico.
Le procedure consigliate consigliano ai clienti di verificare regolarmente se la distribuzione software, ad esempio la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni di malware, funziona come previsto nel proprio ambiente.
Con quale frequenza vengono aggiornate le definizioni di malware e del motore di protezione malware Microsoft?
Microsoft rilascia in genere un aggiornamento per microsoft Malware Protection Engine una volta al mese o in base alle esigenze per proteggersi da nuove minacce. Microsoft aggiorna anche le definizioni di malware tre volte al giorno e può aumentare la frequenza quando necessario.
A seconda del software antimalware Microsoft usato e di come è configurato, il software può cercare aggiornamenti del motore e delle definizioni ogni giorno quando si è connessi a Internet, fino a più volte al giorno. I clienti possono anche scegliere di controllare manualmente la disponibilità di aggiornamenti in qualsiasi momento.
Come è possibile installare l'aggiornamento?
Per informazioni dettagliate su come installare questo aggiornamento, vedere la sezione Azioni suggerite.
Che cos'è il motore di protezione malware Microsoft?
Microsoft Malware Protection Engine, mpengine.dll, fornisce le funzionalità di analisi, rilevamento e pulizia per il software antivirus Microsoft e antispyware.
Questo aggiornamento contiene eventuali modifiche aggiuntive relative alla sicurezza alle funzionalità?
Sì. Oltre alle modifiche elencate per questa vulnerabilità, questo aggiornamento include aggiornamenti approfonditi della difesa per migliorare le funzionalità correlate alla sicurezza.
Dove è possibile trovare altre informazioni sulla tecnologia antimalware Microsoft?
Per altre informazioni, visitare il sito Web di Microsoft Malware Protection Center .
Vulnerabilità di esecuzione remota del codice del motore di protezione malware Microsoft - CVE-2017-0290
Esiste una vulnerabilità di esecuzione remota del codice quando microsoft Malware Protection Engine non analizza correttamente un file appositamente creato con conseguente danneggiamento della memoria.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto di sicurezza dell'account LocalSystem e assumere il controllo del sistema. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Per sfruttare questa vulnerabilità, è necessario analizzare un file appositamente creato da una versione interessata del motore di protezione malware Microsoft. Esistono molti modi in cui un utente malintenzionato potrebbe inserire un file appositamente creato in una posizione analizzata dal motore di protezione malware Microsoft. Ad esempio, un utente malintenzionato potrebbe usare un sito Web per distribuire un file appositamente creato nel sistema della vittima che viene analizzato quando il sito Web viene visualizzato dall'utente. Un utente malintenzionato potrebbe anche recapitare un file appositamente creato tramite un messaggio di posta elettronica o in un messaggio di Instant Messenger analizzato quando il file viene aperto. Inoltre, un utente malintenzionato potrebbe sfruttare i vantaggi dei siti Web che accettano o ospitano contenuti forniti dall'utente, per caricare un file appositamente creato in un percorso condiviso analizzato dal motore di protezione malware in esecuzione nel server di hosting.
Se il software antimalware interessato ha attivato la protezione in tempo reale, il motore di protezione malware Microsoft analizzerà automaticamente i file, causando lo sfruttamento della vulnerabilità quando il file appositamente creato scansionato. Se l'analisi in tempo reale non è abilitata, l'utente malintenzionato dovrà attendere fino a quando non si verifica un'analisi pianificata affinché la vulnerabilità venga sfruttata. Tutti i sistemi che eseguono una versione interessata del software antimalware sono principalmente a rischio.
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui microsoft Malware Protection Engine analizza i file appositamente creati.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità.
Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo avviso di sicurezza è stato originariamente rilasciato.
Azioni suggerite
Verificare che l'aggiornamento sia installato
I clienti devono verificare che la versione più recente del motore di protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati e installati attivamente per i prodotti Microsoft antimalware.Per altre informazioni su come verificare il numero di versione per il motore di Protezione malware Microsoft attualmente in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Per il software interessato, verificare che la versione del motore di protezione malware Microsoft sia 1.1.13704.0 o successiva.
Se necessario, installare l'aggiornamento
Amministrazione istrator di distribuzioni antimalware aziendali devono assicurarsi che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e le nuove definizioni di malware. Gli amministratori aziendali devono anche verificare che la versione più recente del motore di Protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati, approvati e distribuiti attivamente nel proprio ambiente.Per gli utenti finali, il software interessato fornisce meccanismi predefiniti per il rilevamento automatico e la distribuzione di questo aggiornamento. Per questi clienti, l'aggiornamento verrà applicato entro 48 ore dalla disponibilità. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software antimalware.
Per altre informazioni su come aggiornare manualmente le definizioni di Malware Protection Engine e malware, vedere l'articolo della Microsoft Knowledge Base 2510781.
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Natalie Silvanovich e Tavis Ormandy di Google Project Zero
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (8 maggio 2017): Pubblicato avviso.
- V1.1 (11 maggio 2017): aggiunta del collegamento alle stesse informazioni nella Guida all'aggiornamento della sicurezza. Si tratta solo di una modifica informativa.
- V1.2 (12 maggio 2017): aggiunte voci nella tabella software interessata. Si tratta solo di una modifica informativa.
Pagina generata 2017-06-14 10:20-07:00.