Comunicado de Segurança da Microsoft 4022344
Atualização de segurança para o Mecanismo de Proteção contra Malware da Microsoft
Publicado: terça-feira, 8 de maio de 2017 | Atualizado: May 12, 2017
Versão: 1.2
Resumo Executivo
A Microsoft está lançando este comunicado de segurança para informar os clientes de que uma atualização para o Mecanismo de Proteção contra Malware da Microsoft aborda uma vulnerabilidade de segurança que foi relatada à Microsoft.
A atualização elimina uma vulnerabilidade que pode permitir a execução remota de código se o Mecanismo de Proteção contra Malware da Microsoft verificar um arquivo especialmente criado. Um intruso que conseguisse explorar esta vulnerabilidade poderia executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controlo do sistema.
O Mecanismo de Proteção contra Malware da Microsoft é fornecido com vários produtos antimalware da Microsoft. Consulte a seção Software afetado para obter uma lista dos produtos afetados. As atualizações para o Mecanismo de Proteção contra Malware da Microsoft são instaladas junto com as definições de malware atualizadas para os produtos afetados. Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que a definição e as atualizações do mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações de acordo.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar atualizações para o Mecanismo de Proteção contra Malware da Microsoft, porque o mecanismo interno para a deteção automática e implantação de atualizações aplicará a atualização dentro de 48 horas após o lançamento. O período de tempo exato depende do software utilizado, da ligação à Internet e da configuração da infraestrutura.
As informações neste comunicado também estão disponíveis no Guia de Atualização de Segurança referenciado pelo CVE-2017-0290.
Detalhes do Comunicado
Referências de Edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
Referências | Identificação |
---|---|
Última versão do Mecanismo de Proteção contra Malware da Microsoft afetada por esta vulnerabilidade | Versão 1.1.13701.0 |
Primeira versão do Mecanismo de Proteção contra Malware da Microsoft com esta vulnerabilidade resolvida | Versão 1.1.13704.0 |
* Se a sua versão do Mecanismo de Proteção contra Malware da Microsoft for igual ou maior que esta versão, você não será afetado por esta vulnerabilidade e não precisará tomar nenhuma outra ação. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Software afetado
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do seu ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida do suporte para a versão ou edição do software, consulte Ciclo de vida do suporte da Microsoft.
Antimalware Software | Vulnerabilidade de execução remota de código no mecanismo de proteção contra malware da Microsoft - CVE-2017-0290 |
---|---|
Microsoft Forefront Endpoint Protection 2010 | Crítica \ Execução remota de código |
Proteção de ponto de extremidade da Microsoft | Crítica \ Execução remota de código |
Proteção de ponto de extremidade do Microsoft System Center | Crítica \ Execução remota de código |
Noções básicas de segurança da Microsoft | Crítica \ Execução remota de código |
Windows Defender para Windows 7 | Crítica \ Execução remota de código |
Windows Defender para Windows 8.1 | Crítica \ Execução remota de código |
Windows Defender para Windows RT 8.1 | Crítica \ Execução remota de código |
Windows Defender para Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Crítica \ Execução remota de código |
Proteção de ponto de extremidade do Windows Intune | Crítica \ Execução remota de código |
Servidor Microsoft Exchange 2013 | Crítica \ Execução remota de código |
Servidor Microsoft Exchange 2016 | Crítica \ Execução remota de código |
Microsoft Windows Server 2008 R2 | Crítica \ Execução remota de código |
Índice de Exploração
A tabela a seguir fornece uma avaliação de exploração de cada uma das vulnerabilidades abordadas este mês. As vulnerabilidades são listadas por ordem de ID do boletim e, em seguida, ID CVE. Apenas as vulnerabilidades que têm uma classificação de gravidade de Crítica ou Importante nos boletins são incluídas.
Como posso utilizar esta tabela?
Use esta tabela para saber mais sobre a probabilidade de execução de código e explorações de negação de serviço dentro de 30 dias após o lançamento do boletim de segurança, para cada uma das atualizações de segurança que talvez seja necessário instalar. Analise cada uma das avaliações abaixo, de acordo com sua configuração específica, para priorizar a implantação das atualizações deste mês. Para obter mais informações sobre o significado dessas classificações e como elas são determinadas, consulte o Índice de Exploração da Microsoft.
Nas colunas abaixo, "Versão de software mais recente" refere-se ao software em questão e "Versões de software mais antigas" refere-se a todas as versões mais antigas e suportadas do software em questão, conforme listado nas tabelas "Software afetado" e "Software não afetado" no boletim.
CVE ID | Título da vulnerabilidade | Avaliação de Exploração para\ Versão de Software Mais Recente | Avaliação de Exploração para\ Versão de Software Mais Antiga | Negação de Serviço\Avaliação de Exploração |
---|---|---|---|---|
CVE-2017-0290 | Vulnerabilidade de corrupção de memória do mecanismo de script | 2 - Exploração menos provável | 2 - Exploração menos provável | Não aplicável |
FAQ Consultivo
A Microsoft está a lançar um Boletim de Segurança para resolver esta vulnerabilidade?
N.º A Microsoft está lançando este comunicado de segurança informacional para informar os clientes de que uma atualização para o Mecanismo de Proteção contra Malware da Microsoft aborda uma vulnerabilidade de segurança que foi relatada à Microsoft.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.
Por que nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza frequentemente as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado com essas atualizações em tempo hábil.
Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft sejam mantidos atualizados automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.
As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações do Mecanismo de Proteção contra Malware da Microsoft e definições de malware, está funcionando conforme o esperado em seu ambiente.
Com que frequência o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft normalmente lança uma atualização para o Mecanismo de Proteção contra Malware da Microsoft uma vez por mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também normalmente atualiza as definições de malware três vezes ao dia e pode aumentar a frequência quando necessário.
Dependendo de qual software antimalware da Microsoft é usado e como ele é configurado, o software pode procurar atualizações de mecanismo e definição todos os dias quando conectado à Internet, até várias vezes ao dia. Os clientes também podem optar por verificar manualmente se há atualizações a qualquer momento.
Como posso instalar a atualização?
Consulte a secção Ações sugeridas para obter detalhes sobre como instalar esta atualização.
O que é o Mecanismo de Proteção contra Malware da Microsoft?
O Mecanismo de Proteção contra Malware da Microsoft, mpengine.dll, fornece os recursos de verificação, deteção e limpeza para o software antivírus e antispyware da Microsoft.
Esta atualização contém alterações adicionais à funcionalidade relacionadas com segurança?
Sim. Além das alterações listadas para esta vulnerabilidade, esta atualização inclui atualizações de defesa profunda para ajudar a melhorar os recursos relacionados à segurança.
Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.
Vulnerabilidade de execução remota de código no mecanismo de proteção contra malware da Microsoft - CVE-2017-0290
Existe uma vulnerabilidade de execução remota de código quando o Mecanismo de Proteção contra Malware da Microsoft não verifica corretamente um arquivo especialmente criado, levando à corrupção de memória.
Um intruso que conseguisse explorar esta vulnerabilidade poderia executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controlo do sistema. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de utilizador completos.
Para explorar esta vulnerabilidade, um ficheiro especialmente concebido para o efeito tem de ser verificado por uma versão afetada do Mecanismo de Proteção contra Malware da Microsoft. Há muitas maneiras pelas quais um invasor pode colocar um arquivo especialmente criado em um local que é verificado pelo Mecanismo de Proteção contra Malware da Microsoft. Por exemplo, um invasor pode usar um site para entregar um arquivo especialmente criado ao sistema da vítima que é verificado quando o site é visualizado pelo usuário. Um invasor também pode entregar um arquivo especialmente criado por meio de uma mensagem de email ou em uma mensagem do Instant Messenger que é verificada quando o arquivo é aberto. Além disso, um invasor pode tirar proveito de sites que aceitam ou hospedam conteúdo fornecido pelo usuário para carregar um arquivo especialmente criado em um local compartilhado que é verificado pelo Mecanismo de Proteção contra Malware em execução no servidor de hospedagem.
Se o software antimalware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará os arquivos automaticamente, levando à exploração da vulnerabilidade quando o arquivo especialmente criado for verificado. Se a análise em tempo real não estiver ativada, o intruso terá de esperar até que ocorra uma análise agendada para que a vulnerabilidade seja explorada. Todos os sistemas que executam uma versão afetada do software antimalware são os que correm mais risco.
A atualização elimina a vulnerabilidade corrigindo a maneira como o Mecanismo de Proteção contra Malware da Microsoft verifica arquivos especialmente criados.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.
A Microsoft não tinha recebido qualquer informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes quando este comunicado de segurança foi originalmente publicado.
Ações Sugeridas
Verifique se a atualização está instalada
Os clientes devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.Para obter mais informações sobre como verificar o número da versão do Mecanismo de Proteção contra Malware da Microsoft que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Para o software afetado, verifique se a versão do Mecanismo de Proteção contra Malware da Microsoft é 1.1.13704.0 ou posterior.
Se necessário, instale a atualização
Os administradores de implantações antimalware corporativas devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.Para os utilizadores finais, o software afetado fornece mecanismos incorporados para a deteção automática e implementação desta atualização. Para estes clientes, a atualização será aplicada no prazo de 48 horas após a sua disponibilidade. O período de tempo exato depende do software utilizado, da ligação à Internet e da configuração da infraestrutura. Os utilizadores finais que não desejam esperar podem atualizar manualmente o seu software antimalware.
Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware, consulte o artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Natalie Silvanovich e Tavis Ormandy do Google Project Zero
Outras informações
Programa Microsoft Ative Protections (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis nos provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de maio de 2017): Comunicado publicado.
- V1.1 (11 de maio de 2017): Adicionado link para as mesmas informações no Guia de Atualização de Segurança. Esta é apenas uma alteração informativa.
- V1.2 (12 de maio de 2017): Entradas adicionadas à tabela de software afetado. Esta é apenas uma alteração informativa.
Página gerada em 2017-06-14 10:20-07:00.