Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3074162

Vulnerabilidade na Ferramenta de Remoção de Software Mal-intencionado pode permitir a elevação de privilégio

Publicado em: 14.07.2015

Versão: 1.0

Sinopse

A Microsoft está lançando este comunicado de segurança para informar os clientes que uma atualização da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft está disponível para eliminar uma vulnerabilidade de segurança relatada à Microsoft. A vulnerabilidade pode permitir a elevação de privilégio se um atacante entra em um sistema de destino e coloca um arquivo (.dll) da biblioteca de link dinâmico especialmente criado em um diretório local. Um atacante autenticado que tenha explorado com êxito a vulnerabilidade pode elevar privilégios em um sistema de destino. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Os administradores de instalações empresariais devem seguir seus processos internos estabelecidos para garantir que as atualizações sejam aprovadas em seu software de gerenciamento de atualização, e que os clientes consumam as atualizações consequentemente.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar atualizações da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, pois o mecanismo incorporado para a detecção e implantação automática de atualizações aplicará a atualização dentro de 48 horas do lançamento. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências Identificação
Referência CVE CVE-2015-2418
Última versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft afetada por essa vulnerabilidade Versão 5.25.
Primeira versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft com esta vulnerabilidade abordada Versão 5.26*

*Se sua versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft for igual ou maior que esta versão, então você não é afetado por esta vulnerabilidade e não deve tomar nenhuma outra ação. Para obter mais informações sobre como verificar o número de versão de mecanismo usado atualmente pelo software, consulte a seção, "Verificando instalação da atualização", no artigo 2510781 (em inglês) da Microsoft Knowledge Base.

Software Afetado

Esse comunicado descreve o seguinte software:

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Software antimalware

Vulnerabilidade da condição de concorrência do MSRT - CVE-2015-2418

Ferramenta de Remoção de Software Mal-intencionado da Microsoft[1] (3074162)

Importante
Elevação de privilégio

[1]Aplica-se somente às versões de maio de 2015 ou anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.

Índice de exploração

A tabela a seguir fornece uma avaliação de exploração da vulnerabilidade abordada neste comunicado.

Como devo usar a tabela?

Use esta tabela para saber mais sobre a probabilidade do código de exploração de funcionamento ser lançado dentro de 30 dias do lançamento deste comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para dar prioridade a sua implantação. Para obter mais informações sobre o que estas avaliações significam e como são determinadas, consulte o Índice de Exploração da Microsoft.

Título da vulnerabilidade ID do CVE Avaliação da capacidade de exploração da última versão de software Avaliação da capacidade de exploração de versão mais antiga de software Avaliação do risco de exploração da elevação de privilégio Principais observações
Vulnerabilidade de condição de corrida do MSRT CVE-2015-2418 3 - Exploração improvável 3 - Exploração improvável Permanente Essa é uma vulnerabilidade de elevação de privilégio.

A exploração desta vulnerabilidade pode fazer com que o sistema operacional ou um aplicativo deixem de responder permanentemente até que sejam reiniciados manualmente. Isso pode também fazer com que um aplicativo feche ou seja encerrado inesperadamente sem a recuperação automática.

Perguntas frequentes do comunicado

A Microsoft irá lançar um Boletim de segurança para eliminar esta vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança para informar os clientes que uma atualização da Ferramenta de Remoção de Software Mal-intencionado da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft.

Geralmente, nenhuma ação é necessária pelos administradores de empresa ou usuários finais para instalar esta atualização.

Por que geralmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a uma cenário de thread em alteração constante, a Microsoft atualiza com frequência o software antimalware da Microsoft, incluindo a Ferramenta de Remoção de Software Mal-intencionado da Microsoft. Para ser eficiente e ajudar a proteger contra ameaças novas e predominantes, o software antimalware deve ser mantido atualizado de maneira oportuna.

Para implantações empresariais, assim como usuários finais, a configuração padrão do software antimalware da Microsoft ajuda a garantir que a Ferramenta de Remoção de Software Mal-intencionado da Microsoft seja mantida atualizada automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.

As práticas recomendadas sugerem que os clientes verifiquem regularmente se a distribuição de software, tal como a implantação automática de atualizações da Ferramenta de Remoção de Software Mal-intencionado da Microsoft está funcionando como esperado em seu ambiente.

Como eu posso instalar a atualização?
Consulte a seção, Ações sugeridas, para obter detalhes sobre como instalar esta atualização.

Onde eu posso encontrar mais informações sobre a tecnologia de antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.

Informações sobre a vulnerabilidade

Vulnerabilidade da condição de concorrência do MSRT - CVE-2015-2418

Existe uma vulnerabilidade da elevação de privilégios na Ferramenta de Remoção de Software Mal-intencionado da Microsoft (MSRT) quando ela falha em lidar adequadamente de uma condição de concorrência envolvendo um cenário de plantação da DLL. Um atacante autenticado que tenha explorado com êxito esta vulnerabilidade pode elevar privilégios em um sistema de destino. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Para explorar a vulnerabilidade, um atacante teria que entrar no sistema de destino e colocar um arquivo (.dll) da biblioteca de link dinâmico especialmente criado em um diretório local. Um atacante teria então que esperar para o usuário executar a MSRT, o que por sua vez executaria o código mal-intencionado do atacante para aumentar eficazmente os privilégios no sistema de destino. A atualização elimina a vulnerabilidade corrigindo como que a MSRT trata as condições de concorrência.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Ações sugeridas

  • Verificar se a atualização está instalada

    Os clientes devem verificar se a última versão da Ferramenta de Remoção de Software Mal-intencionado da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.

    Para obter mais informações sobre como verificar o número de versão da Ferramenta de Remoção de Software Mal-intencionado da Microsoft usado atualmente pelo software, consulte a seção, "Verificando instalação da atualização", no artigo 2510781 da Base de Dados de Conhecimento Microsoft.

    Para software afetado, verifique se a versão da Ferramenta de Remoção de Software Mal-intencionado da Microsoft é 5.26 ou posterior.

  • Se for necessário, instale a atualização

    Os administradores de implantações de antimalware empresariais devem garantir que seus softwares de gerenciamento de atualização sejam configurados automaticamente para aprovar e distribuir atualizações de mecanismo e novas definições de software mal-intencionado. Os administradores de empresa também devem verificar se a última versão da Ferramenta de Remoção de Software Mal-intencionado da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.

    Os administradores podem também obter a atualização por meio do Centro de Download da Microsoft (consulte também a tabela Software afetado neste comunicado para obter um link para a página do Centro de Download relevante).

    Para usuários finais, o software afetado fornece mecanismos incorporados para a detecção automática e implantação desta atualização. Para estes clientes a atualização será aplicada dentro de 48 horas de sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração de infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.

    Para obter mais informações sobre como atualizar manualmente a Ferramenta de Remoção de Software Mal-intencionado e as definições de malware, consulte o artigo 2510781 da Base de Dados de Conhecimento Microsoft.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14.07.2015): Comunicado publicado.

Página gerada em 23.07.15 9:46Z-07:00.