Poradce microsoftu pro zabezpečení 4022344
Aktualizace zabezpečení pro modul Microsoft Malware Protection Engine
Publikováno: 8. května 2017 | Aktualizováno: 12. května 2017
Verze: 1.2
Shrnutí
Společnost Microsoft vydává toto poradce pro zabezpečení, aby informovala zákazníky, že aktualizace modulu Microsoft Malware Protection Engine řeší ohrožení zabezpečení hlášené Společnosti Microsoft.
Tato aktualizace řeší chybu zabezpečení, která by mohla umožnit vzdálené spuštění kódu, pokud modul Microsoft Malware Protection Engine prohledá speciálně vytvořený soubor. Útočník, který tuto chybu zabezpečení úspěšně zneužil, může v kontextu zabezpečení účtu LocalSystem spustit libovolný kód a převzít kontrolu nad systémem.
Modul Microsoft Malware Protection Engine se dodává s několika antimalwarovými produkty Společnosti Microsoft. Seznam ovlivněných produktů najdete v části Ovlivněný software . Aktualizace do modulu Microsoft Malware Protection Engine jsou nainstalovány spolu s aktualizovanými definicemi malwaru pro ovlivněné produkty. Správa istrátory podnikových instalací by měly postupovat podle zavedených interních procesů, aby se zajistilo, že definice a aktualizace modulu budou schváleny v softwaru pro správu aktualizací a že klienti odpovídajícím způsobem aktualizace využívají.
Podnikovým správcům nebo koncovým uživatelům obvykle není nutná žádná akce k instalaci aktualizací modulu Microsoft Malware Protection Engine, protože integrovaný mechanismus automatického zjišťování a nasazení aktualizací bude tuto aktualizaci používat do 48 hodin od vydání. Přesný časový rámec závisí na použitém softwaru, připojení k internetu a konfiguraci infrastruktury.
Informace v tomto poradci jsou k dispozici také v průvodci aktualizací zabezpečení, na který odkazuje CVE-2017-0290.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Odkazy | Identifikace |
|---|---|
| Poslední verze modulu Microsoft Malware Protection Engine ovlivněného touto chybou zabezpečení | Verze 1.1.13701.0 |
| První verze modulu Microsoft Malware Protection Engine s tímto ohrožením zabezpečení | Verze 1.1.13704.0 |
* Pokud je vaše verze modulu Microsoft Malware Protection Engine rovna nebo vyšší než tato verze, nebudete touto chybou zabezpečení ovlivněni a nemusíte provádět žádné další akce. Další informace o tom, jak ověřit číslo verze modulu, který váš software aktuálně používá, naleznete v části "Ověření instalace aktualizace" v článku znalostní báze Microsoft Knowledge Base 2510781.
Ovlivněný software
Ovlivněné jsou následující verze softwaru nebo edice. Verze nebo edice, které nejsou uvedené, jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
| Antimalwarový software | Ohrožení zabezpečení z hlediska vzdáleného spuštění kódu v modulu Microsoft Malware Protection Engine – CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Critical \ Remote Code Execution |
| Microsoft Endpoint Protection | Critical \ Remote Code Execution |
| Microsoft System Center Endpoint Protection | Critical \ Remote Code Execution |
| Microsoft Security Essentials | Critical \ Remote Code Execution |
| Windows Defender pro Windows 7 | Critical \ Remote Code Execution |
| Windows Defender pro Windows 8.1 | Critical \ Remote Code Execution |
| Windows Defender pro Windows RT 8.1 | Critical \ Remote Code Execution |
| Windows Defender pro Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Critical \ Remote Code Execution |
| Windows Intune Endpoint Protection | Critical \ Remote Code Execution |
| Microsoft Exchange Server 2013 | Critical \ Remote Code Execution |
| Microsoft Exchange Server 2016 | Critical \ Remote Code Execution |
| Microsoft Windows Server 2008 R2 | Critical \ Remote Code Execution |
Index zneužitelnosti
Následující tabulka obsahuje posouzení zneužití jednotlivých ohrožení zabezpečení vyřešených tento měsíc. Tato ohrožení zabezpečení jsou uvedená v pořadí podle ID bulletinu a pak ID CVE. V bulletinech jsou zahrnuta pouze ohrožení zabezpečení, u kterých je hodnocení závažnosti Kritické nebo Důležité.
Návody použít tuto tabulku?
V této tabulce se dozvíte o pravděpodobnosti spuštění kódu a zneužití služby do 30 dnů od vydání bulletinu zabezpečení pro každou aktualizaci zabezpečení, kterou možná budete muset nainstalovat. Projděte si každé z níže uvedených posouzení v souladu s vaší konkrétní konfigurací a určete prioritu nasazení aktualizací tohoto měsíce. Další informace o tom, co tato hodnocení znamenají a jak se určují, najdete v tématu Index zneužití společnosti Microsoft.
Ve sloupcích níže "Nejnovější verze softwaru" odkazuje na předmětný software a "Starší verze softwaru" odkazuje na všechny starší podporované verze předmětu softwaru, jak je uvedeno v tabulkách Ovlivněný software a Software, které nejsou ovlivněny tímto softwarem v bulletinu.
| CVE ID | Název ohrožení zabezpečení | Posouzení zneužití pro nejnovější verzi softwaru | Posouzení zneužití pro\ starší verze softwaru | Odepření služby\ Posouzení zneužití |
|---|---|---|---|---|
| CVE-2017-0290 | Ohrožení zabezpečení kvůli poškození paměti skriptovacího stroje | 2 . Méně pravděpodobné využití | 2 . Méně pravděpodobné využití | Nelze použít |
Nejčastější dotazy k poradenství
Vydává Společnost Microsoft bulletin zabezpečení, který tuto chybu zabezpečení řeší?
Ne. Společnost Microsoft vydává tento informační poradce pro zabezpečení, aby informovala zákazníky, že aktualizace modulu Microsoft Malware Protection Engine řeší ohrožení zabezpečení hlášené Společnosti Microsoft.
K instalaci této aktualizace se obvykle nevyžaduje žádná akce podnikových správců ani koncových uživatelů.
Proč není k instalaci této aktualizace nutná žádná akce?
V reakci na neustále se měnící prostředí hrozeb společnost Microsoft často aktualizuje definice malwaru a modul Microsoft Malware Protection Engine. Aby bylo možné efektivně chránit před novými a rozšířenými hrozbami, musí být antimalwarový software v aktualizovaném stavu s těmito aktualizacemi včas.
U podnikových nasazení i koncových uživatelů je výchozí konfigurace antimalwarového softwaru společnosti Microsoft zajištěna tak, aby definice malwaru a modul Microsoft Malware Protection Engine byly automaticky aktuální. Dokumentace k produktu také doporučuje, aby byly produkty nakonfigurované pro automatickou aktualizaci.
Osvědčené postupy doporučují, aby zákazníci pravidelně ověřovali, jestli distribuce softwaru, jako je automatické nasazení aktualizací modulu Microsoft Malware Protection Engine a definic malwaru, ve svém prostředí funguje podle očekávání.
Jak často se aktualizují definice malwaru a modulu Microsoft Malware Protection Engine?
Společnost Microsoft obvykle vydává aktualizaci modulu Microsoft Malware Protection Engine jednou za měsíc nebo podle potřeby k ochraně před novými hrozbami. Microsoft také obvykle třikrát denně aktualizuje definice malwaru a v případě potřeby může frekvenci zvýšit.
V závislosti na tom, který antimalwarový software společnosti Microsoft se používá a jak je nakonfigurovaný, může software každý den hledat aktualizace stroje a definic při připojení k internetu až několikrát denně. Zákazníci se také můžou kdykoli rozhodnout, že budou aktualizace vyhledávat ručně.
Jak můžu nainstalovat aktualizaci?
Podrobnosti o instalaci této aktualizace najdete v části Navrhované akce.
Co je modul Microsoft Malware Protection Engine?
Modul Microsoft Malware Protection Engine, mpengine.dll, poskytuje možnosti skenování, detekce a čištění pro antivirový a antispywarový software společnosti Microsoft.
Obsahuje tato aktualizace nějaké další změny související se zabezpečením funkcí?
Ano. Kromě změn, které jsou uvedené pro tuto chybu zabezpečení, tato aktualizace zahrnuje podrobné aktualizace ochrany, které pomáhají zlepšit funkce související se zabezpečením.
Kde najdu další informace o antimalwarové technologii Microsoftu?
Další informace najdete na Centrum společnosti Microsoft pro ochranu před škodlivým softwarem webu.
Ohrožení zabezpečení z hlediska vzdáleného spuštění kódu v modulu Microsoft Malware Protection Engine – CVE-2017-0290
Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu existuje, když modul Microsoft Malware Protection Engine neskenuje správně speciálně vytvořený soubor, který vede k poškození paměti.
Útočník, který tuto chybu zabezpečení úspěšně zneužil, může v kontextu zabezpečení účtu LocalSystem spustit libovolný kód a převzít kontrolu nad systémem. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy.
Aby bylo možné tuto chybu zabezpečení zneužít, musí být speciálně vytvořený soubor zkontrolován ovlivněnou verzí modulu Microsoft Malware Protection Engine. Existuje mnoho způsobů, jak by útočník mohl umístit speciálně vytvořený soubor do umístění, které kontroluje modul Microsoft Malware Protection Engine. Útočník může například použít web k doručení speciálně vytvořeného souboru do systému oběti, který se naskenuje při prohlížení webu uživatelem. Útočník může také doručit speciálně vytvořený soubor prostřednictvím e-mailové zprávy nebo ve zprávě rychlého zasílání zpráv, která se kontroluje při otevření souboru. Útočník by navíc mohl využít weby, které přijímají nebo hostují obsah poskytovaný uživatelem, k nahrání speciálně vytvořeného souboru do sdíleného umístění, které prohledá modul ochrany před malwarem spuštěný na hostitelském serveru.
Pokud má ovlivněný antimalwarový software zapnutou ochranu v reálném čase, modul Microsoft Malware Protection Engine automaticky prohledá soubory, což povede ke zneužití chyby zabezpečení při kontrole speciálně vytvořeného souboru. Pokud kontrola v reálném čase není povolená, útočník bude muset počkat, až dojde k naplánované kontrole, aby bylo možné zneužít ohrožení zabezpečení. Všechny systémy, na kterých běží ovlivněná verze antimalwarového softwaru, jsou primárně ohrožené.
Tato aktualizace řeší ohrožení zabezpečení tím, že opraví způsob, jakým modul Microsoft Malware Protection Engine kontroluje speciálně vytvořené soubory.
Společnost Microsoft obdržela informace o této chybě zabezpečení prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení.
Společnost Microsoft nepřijala žádné informace, které by značily, že se tato chyba zabezpečení veřejně používala k útoku zákazníků, když byl původně vydán tento poradce pro zabezpečení.
Navrhované akce
Ověřte, že je aktualizace nainstalovaná.
Zákazníci by měli ověřit, že se aktivně stahují a instalují nejnovější verze modulu Microsoft Malware Protection Engine a aktualizací definic pro své antimalwarové produkty Společnosti Microsoft.Další informace o tom, jak ověřit číslo verze modulu Microsoft Malware Protection Engine, který váš software aktuálně používá, naleznete v části "Ověření instalace aktualizace" v článku znalostní báze Microsoft Knowledge Base 2510781.
V případě ovlivněného softwaru ověřte, že verze modulu Microsoft Malware Protection Engine je 1.1.13704.0 nebo novější.
V případě potřeby nainstalujte aktualizaci.
Správa istrátory podnikových antimalwarových nasazení by měly zajistit, aby byl jejich software pro správu aktualizací nakonfigurovaný tak, aby automaticky schvaloval a distribuoval aktualizace modulu a nové definice malwaru. Podnikoví správci by také měli ověřit, že se aktivně stahují, schvalují a nasazují nejnovější verze modulu Microsoft Malware Protection Engine a aktualizací definic.Pro koncové uživatele poskytuje ovlivněný software integrované mechanismy pro automatickou detekci a nasazení této aktualizace. Pro tyto zákazníky se aktualizace použije do 48 hodin od její dostupnosti. Přesný časový rámec závisí na použitém softwaru, připojení k internetu a konfiguraci infrastruktury. Koncoví uživatelé, kteří nechtějí čekat, mohou ručně aktualizovat svůj antimalwarový software.
Další informace o ruční aktualizaci modulu Microsoft Malware Protection Engine a definic malwaru naleznete v článku znalostní báze Microsoft Knowledge Base 2510781.
Poděkování
Microsoft děkujeme , že s námi spolupracujete na ochraně zákazníků:
- Natalie Silvanovich a Tavis Ormandy projektu Google Zero
Další informace
Program Microsoft Active Protections (MAPP)
Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partneři.
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (8. května 2017): Poradce publikováno.
- V1.1 (11. května 2017): Přidání odkazu na stejné informace v průvodci aktualizacemi zabezpečení Jedná se pouze o informační změnu.
- V1.2 (12. května 2017): Přidání položek do ovlivněné softwarové tabulky Jedná se pouze o informační změnu.
Stránka vygenerovaná 2017-06-14 10:20-07:00.