Comunicado de Segurança da Microsoft 2974294

Vulnerabilidade no mecanismo de proteção contra malware da Microsoft pode permitir negação de serviço

Publicado em: 17 de junho de 2014

Versão: 1.0

Informações Gerais

Resumo executivo

A Microsoft está lançando este comunicado de segurança para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft. A vulnerabilidade pode permitir a negação de serviço se o Mecanismo de Proteção contra Malware da Microsoft verificar um arquivo especialmente criado. Um invasor que explorar com êxito essa vulnerabilidade poderá impedir que o Mecanismo de Proteção contra Malware da Microsoft monitore os sistemas afetados até que o arquivo especialmente criado seja removido manualmente e o serviço seja reiniciado.

O Mecanismo de Proteção contra Malware da Microsoft é fornecido com vários produtos antimalware da Microsoft. Consulte a seção Softwares afetados para obter uma lista de produtos afetados. As atualizações do Mecanismo de Proteção contra Malware da Microsoft são instaladas junto com as definições de malware atualizadas para os produtos afetados. Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações de definição e mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.

Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar atualizações para o Mecanismo de Proteção contra Malware da Microsoft, porque o mecanismo interno para a detecção automática e implantação de atualizações aplicará a atualização dentro de 48 horas após o lançamento. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura.

Detalhes do Comunicado

Referências de edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Referência CVE CVE-2014-2779
Última versão do Mecanismo de Proteção contra Malware da Microsoft afetada por esta vulnerabilidade Versão 1.1.10600.0
Primeira versão do Mecanismo de Proteção contra Malware da Microsoft com esta vulnerabilidade abordada Versão 1.1.10701.0*

*Se a sua versão do Mecanismo de Proteção contra Malware da Microsoft for igual ou maior que esta versão, você não será afetado por esta vulnerabilidade e não precisará tomar nenhuma ação adicional. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

Este comunicado aborda o seguinte software.

Softwares afetados

Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado
Antimalware Software Vulnerabilidade de negação de serviço no mecanismo de proteção contra malware da Microsoft - CVE-2014-2779
Microsoft Forefront Client Security Negação de Serviço Importante
Microsoft Forefront Endpoint Protection 2010 Negação de Serviço Importante
Microsoft Forefront Security para SharePoint Service Pack 3 Negação de Serviço Importante
Microsoft System Center 2012 Endpoint Protection Negação de Serviço Importante
Microsoft System Center 2012 Endpoint Protection Service Pack 1 Negação de Serviço Importante
Ferramenta de Remoção de Software Mal-Intencionado da Microsoft[1] Negação de Serviço Importante
Fundamentos de segurança da Microsoft Negação de Serviço Importante
Pré-lançamento do Microsoft Security Essentials Negação de Serviço Importante
Windows Defender para Windows 8, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2 Negação de Serviço Importante
Windows Defender para Windows RT e Windows RT 8.1 Negação de Serviço Importante
Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 Negação de Serviço Importante
Windows Defender Offline Negação de Serviço Importante
Proteção de ponto de extremidade do Windows Intune Negação de Serviço Importante

[1]Aplica-se somente a maio de 2014 ou versões anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.

Software não afetado

Antimalware Software
Não executa o mecanismo de proteção contra malware
Microsoft Forefront Server Security Management Console
Servidor Microsoft Internet Security and Acceleration (ISA)

Índice de Exploração

A tabela a seguir fornece uma avaliação da capacidade de exploração da vulnerabilidade abordada neste comunicado.

Como faço para usar esta tabela?

Use esta tabela para saber mais sobre a probabilidade de o código de exploração em funcionamento ser liberado dentro de 30 dias após esta versão do comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para priorizar sua implantação. Para obter mais informações sobre o que essas classificações significam e como elas são determinadas, consulte Índice de exploração da Microsoft.

Título da vulnerabilidade CVE ID Avaliação de exploração para a versão mais recente do software Avaliação de exploração para versões mais antigas de software Avaliação da Exploração de Negação de Serviço Notas principais
Vulnerabilidade de negação de serviço no mecanismo de proteção contra malware da Microsoft CVE-2014-2779 3 - Código de exploração improvável 3 - Código de exploração improvável Permanente Esta é uma vulnerabilidade de negação de serviço.\ \ A exploração desta vulnerabilidade pode fazer com que o sistema operacional ou um aplicativo pare de responder permanentemente até que seja reiniciado manualmente. Também pode fazer com que um aplicativo feche ou feche inesperadamente sem se recuperar automaticamente.

Perguntas frequentes sobre o Advisory

A Microsoft está lançando um Boletim de Segurança para resolver essa vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança informativa para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft.

Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.

Por que normalmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza com frequência as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado com essas atualizações em tempo hábil.

Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft sejam mantidos atualizados automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.

As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações do Mecanismo de Proteção contra Malware da Microsoft e definições de malware, está funcionando conforme o esperado em seu ambiente.

Com que frequência o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft normalmente lança uma atualização para o Mecanismo de Proteção contra Malware da Microsoft uma vez por mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também costuma atualizar as definições de malware três vezes ao dia e pode aumentar a frequência quando necessário.

Dependendo de qual software antimalware da Microsoft é usado e como ele é configurado, o software pode procurar atualizações de mecanismo e definição todos os dias quando conectado à Internet, até várias vezes ao dia. Os clientes também podem optar por verificar manualmente se há atualizações a qualquer momento.

Como posso instalar a atualização?
Consulte a seção Ações sugeridas para obter detalhes sobre como instalar essa atualização.

O que é o Mecanismo de Proteção contra Malware da Microsoft?
O Mecanismo de Proteção contra Malware da Microsoft, mpengine.dll, fornece os recursos de varredura, detecção e limpeza para o software antivírus e antispyware da Microsoft.

Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.

Perguntas frequentes sobre a vulnerabilidade de negação de serviço no mecanismo de proteção contra malware da Microsoft - CVE-2014-2779

Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de negação de serviço.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o Mecanismo de Proteção contra Malware da Microsoft não verifica corretamente um arquivo especialmente criado, levando a um tempo limite de verificação.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito essa vulnerabilidade poderá impedir que o Mecanismo de Proteção contra Malware da Microsoft monitore os sistemas afetados até que o arquivo especialmente criado seja removido manualmente e o serviço seja reiniciado.

Como um invasor pode explorar a vulnerabilidade?
Para explorar esta vulnerabilidade, um ficheiro especialmente concebido para o efeito tem de ser analisado por uma versão afectada do Mecanismo de Proteção contra Malware da Microsoft. Há muitas maneiras de um invasor colocar um arquivo especialmente criado em um local verificado pelo Mecanismo de Proteção contra Malware da Microsoft. Por exemplo, um invasor pode usar um site para entregar um arquivo especialmente criado ao sistema da vítima que é verificado quando o site é exibido pelo usuário. Um invasor também pode entregar um arquivo especialmente criado por meio de uma mensagem de email ou em uma mensagem do Instant Messenger que é verificada quando o arquivo é aberto. Além disso, um invasor pode aproveitar sites que aceitam ou hospedam conteúdo fornecido pelo usuário para carregar um arquivo especialmente criado em um local compartilhado que é verificado pelo Mecanismo de Proteção contra Malware em execução no servidor de hospedagem.

Se o software antimalware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará os arquivos automaticamente, levando à exploração da vulnerabilidade quando o arquivo especialmente criado for verificado. Se a verificação em tempo real não estiver habilitada, o invasor precisará aguardar até que uma verificação agendada ocorra para que a vulnerabilidade seja explorada.

Além disso, a exploração da vulnerabilidade pode ocorrer quando o sistema é verificado usando uma versão afetada da Ferramenta de Remoção de Software Mal-Intencionado (MSRT).

Quais são os sistemas que mais correm risco com a vulnerabilidade?
Todos os sistemas que executam uma versão afetada do software antimalware são os que correm mais risco.

O que a atualização faz?
A atualização elimina a vulnerabilidade corrigindo como o Mecanismo de Proteção contra Malware da Microsoft verifica arquivos especialmente criados.

Quando este comunicado de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.

Quando este comunicado de segurança foi emitido, a Microsoft havia recebido algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não havia recebido nenhuma informação que indicasse que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este comunicado de segurança foi publicado originalmente.

Ações sugeridas

  • Verifique se a atualização está instalada

    Os clientes devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.

    Para obter mais informações sobre como verificar o número da versão do Mecanismo de Proteção contra Malware da Microsoft que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.

    Para software afetado, verifique se a versão do Mecanismo de Proteção contra Malware da Microsoft é 1.1.10701.0 ou posterior.

  • Se necessário, instale a atualização

    Os administradores de implantações de antimalware corporativo devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.

    Para usuários finais, o software afetado fornece mecanismos internos para a detecção automática e a implantação dessa atualização. Para esses clientes, a atualização será aplicada em até 48 horas após sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.

    Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware, consulte o Artigo 2510781 da Base de Dados de Conhecimento Microsoft.

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • Tavis Ormandy, do Google Project Zero , por trabalhar conosco na vulnerabilidade de negação de serviço no mecanismo de proteção contra malware da Microsoft (CVE-2014-2779)

Outras Informações

Programa de Proteção Ativa da Microsoft (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Suporte

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (17 de junho de 2014): Comunicado publicado.

Página gerada em 07/07/2014 10:25Z-07:00.