Microsoft Security Advisory 4022344
Säkerhetsuppdatering för Microsoft Malware Protection Engine
Publicerad: 8 maj 2017 | Uppdaterad: 12 maj 2017
Version: 1.2
Sammanfattning
Microsoft släpper den här säkerhetsrekommenderingen för att informera kunderna om att en uppdatering av Microsoft Malware Protection Engine åtgärdar en säkerhetsrisk som rapporterades till Microsoft.
Uppdateringen åtgärdar en säkerhetsrisk som kan tillåta fjärrkörning av kod om Microsoft Malware Protection Engine söker igenom en särskilt utformad fil. En angripare som har utnyttjat den här säkerhetsrisken kan köra godtycklig kod i säkerhetskontexten för LocalSystem-kontot och ta kontroll över systemet.
Microsoft Malware Protection Engine levereras med flera Microsoft-produkter mot skadlig kod. Se avsnittet Berörd programvara för en lista över berörda produkter. Uppdateringar till Microsoft Malware Protection Engine installeras tillsammans med uppdaterade definitioner av skadlig kod för de berörda produkterna. Administratörer av företagsinstallationer bör följa sina etablerade interna processer för att säkerställa att definitions- och motoruppdateringarna godkänns i deras program för uppdateringshantering och att klienterna använder uppdateringarna i enlighet med detta.
Vanligtvis krävs ingen åtgärd av företagsadministratörer eller slutanvändare för att installera uppdateringar för Microsoft Malware Protection Engine, eftersom den inbyggda mekanismen för automatisk identifiering och distribution av uppdateringar kommer att tillämpa uppdateringen inom 48 timmar efter lanseringen. Den exakta tidsramen beror på vilken programvara som används, Internetanslutning och infrastrukturkonfiguration.
Informationen i den här rekommendationen finns också i säkerhetsuppdateringsguiden som refereras av CVE-2017-0290.
Rådgivande information
Problemreferenser
Mer information om det här problemet finns i följande referenser:
| Referenser | Identifiering |
|---|---|
| Den senaste versionen av Microsoft Malware Protection Engine som påverkas av den här säkerhetsrisken | Version 1.1.13701.0 |
| Första versionen av Microsoft Malware Protection Engine med den här säkerhetsrisken åtgärdad | Version 1.1.13704.0 |
* Om din version av Microsoft Malware Protection Engine är lika med eller större än den här versionen påverkas du inte av den här säkerhetsrisken och behöver inte vidta några ytterligare åtgärder. Mer information om hur du verifierar motorversionsnumret som programvaran använder finns i avsnittet "Verifiera uppdateringsinstallation" i Microsoft Knowledge Base-artikeln 2510781.
Programvara som påverkas
Följande programvaruversioner eller utgåvor påverkas. Versioner eller utgåvor som inte visas har antingen passerat sin supportlivscykel eller påverkas inte. Information om hur du fastställer supportlivscykeln för din programvaruversion eller utgåva finns i Microsoft Support Lifecycle.
| Program mot skadlig kod | Microsoft Malware Protection Engine Remote Code Execution Vulnerability- CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Kritisk \ Fjärrkodkörning |
| Microsoft Endpoint Protection | Kritisk \ Fjärrkodkörning |
| Microsoft System Center Endpoint Protection | Kritisk \ Fjärrkodkörning |
| Microsoft Security Essentials | Kritisk \ Fjärrkodkörning |
| Windows Defender för Windows 7 | Kritisk \ Fjärrkodkörning |
| Windows Defender för Windows 8.1 | Kritisk \ Fjärrkodkörning |
| Windows Defender för Windows RT 8.1 | Kritisk \ Fjärrkodkörning |
| Windows Defender för Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Kritisk \ Fjärrkodkörning |
| Windows Intune Endpoint Protection | Kritisk \ Fjärrkodkörning |
| Microsoft Exchange Server 2013 | Kritisk \ Fjärrkodkörning |
| Microsoft Exchange Server 2016 | Kritisk \ Fjärrkodkörning |
| Microsoft Windows Server 2008 R2 | Kritisk \ Fjärrkodkörning |
Sårbarhetsindex
Följande tabell innehåller en sårbarhetsbedömning av var och en av de sårbarheter som åtgärdas den här månaden. Säkerhetsriskerna visas i ordning efter bulletin-ID och sedan CVE-ID. Endast säkerhetsrisker som har allvarlighetsgraden Kritisk eller Viktig i bulletinerna ingår.
Hur gör jag för att använda den här tabellen?
Använd den här tabellen om du vill veta mer om sannolikheten för kodkörning och överbelastningsexploateringar inom 30 dagar efter att säkerhetsbulletinen släppts, för var och en av de säkerhetsuppdateringar som du kan behöva installera. Granska var och en av utvärderingarna nedan, i enlighet med din specifika konfiguration, för att prioritera distributionen av den här månadens uppdateringar. Mer information om vad dessa klassificeringar betyder och hur de fastställs finns i Microsoft Exploitability Index.
I kolumnerna nedan refererar "Senaste programvaruversion" till ämnesprogramvaran, och "Äldre programvaruversioner" refererar till alla äldre versioner som stöds av ämnesprogramvaran, enligt beskrivningen i tabellerna "Påverkad programvara" och "Icke-påverkad programvara" i bulletinen.
| CVE-ID | Rubrik för säkerhetsrisk | Sårbarhetsbedömning för\ Senaste programvaruversion | Sårbarhetsbedömning för\ Äldre programvaruversion | Denial of Service\ Sårbarhetsbedömning |
|---|---|---|---|---|
| CVE-2017-0290 | Sårbarhet för minnesskada i skriptmotorn | 2 – Mindre troligt utnyttjande | 2 – Mindre troligt utnyttjande | Inte tillämpligt |
Vanliga frågor och svar om rådgivning
Släpper Microsoft en säkerhetsbulletin för att åtgärda den här säkerhetsrisken?
Nej. Microsoft släpper den här informationssäkerhetsrekommendationen för att informera kunderna om att en uppdatering av Microsoft Malware Protection Engine åtgärdar en säkerhetsrisk som rapporterades till Microsoft.
Normalt krävs ingen åtgärd av företagsadministratörer eller slutanvändare för att installera den här uppdateringen.
Varför krävs ingen åtgärd för att installera den här uppdateringen?
Som svar på ett ständigt föränderligt hotlandskap uppdaterar Microsoft ofta definitioner av skadlig kod och Microsoft Malware Protection Engine. För att vara effektivt för att skydda mot nya och utbredda hot måste program mot skadlig kod hållas uppdaterade med dessa uppdateringar i tid.
För företagsdistributioner och slutanvändare hjälper standardkonfigurationen i Microsofts program mot skadlig kod till att säkerställa att definitioner av skadlig kod och Microsoft Malware Protection Engine hålls uppdaterade automatiskt. Produktdokumentationen rekommenderar också att produkter konfigureras för automatisk uppdatering.
Metodtips rekommenderar att kunderna regelbundet kontrollerar om programvarudistribution, till exempel automatisk distribution av Uppdateringar av Microsoft Malware Protection Engine och definitioner av skadlig kod, fungerar som förväntat i deras miljö.
Hur ofta uppdateras Microsoft Malware Protection Engine och definitioner av skadlig kod?
Microsoft släpper vanligtvis en uppdatering för Microsoft Malware Protection Engine en gång i månaden eller efter behov för att skydda mot nya hot. Microsoft uppdaterar också vanligtvis definitionerna för skadlig kod tre gånger dagligen och kan öka frekvensen när det behövs.
Beroende på vilken Programvara mot skadlig programvara från Microsoft som används och hur den konfigureras kan programvaran söka efter motor- och definitionsuppdateringar varje dag när den är ansluten till Internet, upp till flera gånger dagligen. Kunder kan också välja att söka efter uppdateringar manuellt när som helst.
Hur installerar jag uppdateringen?
Mer information om hur du installerar den här uppdateringen finns i avsnittet Föreslagna åtgärder.
Vad är Microsoft Malware Protection Engine?
Microsoft Malware Protection Engine, mpengine.dll, tillhandahåller funktionerna för genomsökning, identifiering och rengöring för Microsofts antivirus- och antivirusprogram.
Innehåller den här uppdateringen några ytterligare säkerhetsrelaterade funktionsändringar?
Ja. Förutom de ändringar som anges för den här säkerhetsrisken innehåller den här uppdateringen djupgående uppdateringar för att förbättra säkerhetsrelaterade funktioner.
Var hittar jag mer information om Microsofts teknik för program mot skadlig kod?
Mer information finns på webbplatsen för Microsoft Malware Protection Center .
Microsoft Malware Protection Engine Remote Code Execution Vulnerability – CVE-2017-0290
Det finns en sårbarhet för fjärrkörning av kod när Microsoft Malware Protection Engine inte genomsöker en särskilt utformad fil som leder till minnesskada.
En angripare som har utnyttjat den här säkerhetsrisken kan köra godtycklig kod i säkerhetskontexten för LocalSystem-kontot och ta kontroll över systemet. En angripare kan sedan installera program. visa, ändra eller ta bort data. eller skapa nya konton med fullständiga användarrättigheter.
För att utnyttja den här sårbarheten måste en särskilt utformad fil genomsökas av en påverkad version av Microsoft Malware Protection Engine. Det finns många sätt som en angripare kan placera en särskilt utformad fil på en plats som genomsöks av Microsoft Malware Protection Engine. En angripare kan till exempel använda en webbplats för att leverera en särskilt utformad fil till offrets system som genomsöks när webbplatsen visas av användaren. En angripare kan också leverera en särskilt utformad fil via ett e-postmeddelande eller i ett Snabbmeddelande som genomsöks när filen öppnas. Dessutom kan en angripare dra nytta av webbplatser som accepterar eller är värd för innehåll som tillhandahålls av användaren för att ladda upp en särskilt utformad fil till en delad plats som genomsöks av malware protection engine som körs på värdservern.
Om den berörda programvaran för program mot skadlig kod har aktiverat realtidsskydd genomsöker Microsoft Malware Protection Engine filerna automatiskt, vilket leder till utnyttjande av säkerhetsrisken när den särskilt utformade filen genomsöks. Om realtidsgenomsökning inte är aktiverat måste angriparen vänta tills en schemalagd genomsökning inträffar för att sårbarheten ska kunna utnyttjas. Alla system som kör en påverkad version av program mot skadlig kod är i första hand utsatta för risk.
Uppdateringen åtgärdar säkerhetsrisken genom att korrigera det sätt på vilket Microsoft Malware Protection Engine söker igenom särskilt utformade filer.
Microsoft fick information om den här sårbarheten genom samordnat avslöjande av säkerhetsrisker.
Microsoft hade inte fått någon information som tyder på att den här sårbarheten hade använts offentligt för att attackera kunder när den här säkerhetsrekommendationen ursprungligen utfärdades.
Föreslagna åtgärder
Kontrollera att uppdateringen är installerad
Kunder bör kontrollera att den senaste versionen av Microsoft Malware Protection Engine och definitionsuppdateringar aktivt laddas ned och installeras för sina Produkter mot skadlig kod från Microsoft.Mer information om hur du verifierar versionsnumret för Microsoft Malware Protection Engine som din programvara använder finns i avsnittet "Verifiera uppdateringsinstallation" i Microsoft Knowledge Base-artikeln 2510781.
Kontrollera att Microsoft Malware Protection Engine-versionen är 1.1.13704.0 eller senare för programvara som påverkas.
Installera uppdateringen om det behövs
Administratörer av företagsdistributioner av program mot skadlig kod bör se till att deras program för uppdateringshantering konfigureras för att automatiskt godkänna och distribuera motoruppdateringar och nya definitioner av skadlig kod. Företagsadministratörer bör också kontrollera att den senaste versionen av Microsoft Malware Protection Engine och definitionsuppdateringar aktivt laddas ned, godkänns och distribueras i deras miljö.För slutanvändare tillhandahåller den berörda programvaran inbyggda mekanismer för automatisk identifiering och distribution av den här uppdateringen. För dessa kunder tillämpas uppdateringen inom 48 timmar efter dess tillgänglighet. Den exakta tidsramen beror på vilken programvara som används, Internetanslutning och infrastrukturkonfiguration. Slutanvändare som inte vill vänta kan manuellt uppdatera sina program mot skadlig kod.
Mer information om hur du uppdaterar Microsoft Malware Protection Engine och definitioner av skadlig kod manuellt finns i Microsoft Knowledge Base-artikeln 2510781.
Tack
Microsoft tackar följande för att du samarbetar med oss för att skydda kunder:
- Natalie Silvanovich och Tavis Ormandy från Google Project Zero
Övrig information
Microsoft Active Protections Program (MAPP)
För att förbättra säkerhetsskyddet för kunder tillhandahåller Microsoft sårbarhetsinformation till stora leverantörer av säkerhetsprogram före varje månatlig version av säkerhetsuppdateringen. Säkerhetsprogramleverantörer kan sedan använda den här sårbarhetsinformationen för att ge kunderna uppdaterat skydd via deras säkerhetsprogram eller enheter, till exempel antivirusprogram, nätverksbaserade intrångsidentifieringssystem eller värdbaserade intrångsskyddssystem. Om du vill ta reda på om aktiva skydd är tillgängliga från leverantörer av säkerhetsprogram kan du besöka de aktiva skyddswebbplatser som tillhandahålls av programpartners, listade i Mapp-partner (Microsoft Active Protections Program).
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Support
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support.
- Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (8 maj 2017): Rådgivning publicerad.
- V1.1 (11 maj 2017): Länk till samma information har lagts till i säkerhetsuppdateringsguiden. Detta är endast en informationsändring.
- V1.2 (12 maj 2017): Poster har lagts till i den berörda programvarutabellen. Detta är endast en informationsändring.
Sidan genererades 2017-06-14 10:20-07:00.