Comunicado de Segurança da Microsoft 4022344
Atualização de segurança para o Mecanismo de Proteção contra Malware da Microsoft
Publicado: terça-feira, 8 de maio de 2017 | Atualizado: May 12, 2017
Versão: 1.2
Resumo executivo
A Microsoft está lançando este comunicado de segurança para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft.
A atualização elimina uma vulnerabilidade que pode permitir a execução remota de código se o Mecanismo de Proteção contra Malware da Microsoft verificar um arquivo especialmente criado. O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle do sistema.
O Mecanismo de Proteção contra Malware da Microsoft é fornecido com vários produtos antimalware da Microsoft. Consulte a seção Softwares afetados para obter uma lista de produtos afetados. As atualizações do Mecanismo de Proteção contra Malware da Microsoft são instaladas junto com as definições de malware atualizadas para os produtos afetados. Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações de definição e mecanismo sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar atualizações para o Mecanismo de Proteção contra Malware da Microsoft, porque o mecanismo interno para a detecção automática e implantação de atualizações aplicará a atualização dentro de 48 horas após o lançamento. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura.
As informações neste comunicado também estão disponíveis no Guia de Atualização de Segurança referenciado pelo CVE-2017-0290.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Última versão do Mecanismo de Proteção contra Malware da Microsoft afetada por esta vulnerabilidade | Versão 1.1.13701.0 |
| Primeira versão do Mecanismo de Proteção contra Malware da Microsoft com esta vulnerabilidade abordada | Versão 1.1.13704.0 |
* Se a sua versão do Mecanismo de Proteção contra Malware da Microsoft for igual ou maior que esta versão, você não será afetado por essa vulnerabilidade e não precisará tomar nenhuma ação adicional. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Antimalware Software | Vulnerabilidade de execução remota de código do mecanismo de proteção contra malware da Microsoft - CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Crítico \ Execução remota de código |
| Proteção de ponto de extremidade da Microsoft | Crítico \ Execução remota de código |
| Proteção de ponto de extremidade do Microsoft System Center | Crítico \ Execução remota de código |
| Fundamentos de segurança da Microsoft | Crítico \ Execução remota de código |
| Windows Defender para Windows 7 | Crítico \ Execução remota de código |
| Windows Defender para Windows 8.1 | Crítico \ Execução remota de código |
| Windows Defender para Windows RT 8.1 | Crítico \ Execução remota de código |
| Windows Defender para Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Crítico \ Execução remota de código |
| Proteção de ponto de extremidade do Windows Intune | Crítico \ Execução remota de código |
| Microsoft Exchange Server 2013 | Crítico \ Execução remota de código |
| Microsoft Exchange Server 2016 | Crítico \ Execução remota de código |
| Microsoft Windows Server 2008 R2 | Crítico \ Execução remota de código |
Índice de Exploração
A tabela a seguir fornece uma avaliação da capacidade de exploração de cada uma das vulnerabilidades abordadas este mês. As vulnerabilidades são listadas em ordem de ID do boletim e, em seguida, ID CVE. Somente as vulnerabilidades que têm uma classificação de gravidade de Crítica ou Importante nos boletins são incluídas.
Como faço para usar esta tabela?
Use esta tabela para saber mais sobre a probabilidade de execução de código e explorações de negação de serviço dentro de 30 dias após o lançamento do boletim de segurança, para cada uma das atualizações de segurança que talvez você precise instalar. Analise cada uma das avaliações abaixo, de acordo com sua configuração específica, para priorizar a implantação das atualizações deste mês. Para obter mais informações sobre o que essas classificações significam e como elas são determinadas, consulte Índice de exploração da Microsoft.
Nas colunas abaixo, "Versão mais recente do software" refere-se ao software do assunto e "Versões mais antigas do software" refere-se a todas as versões mais antigas e suportadas do software do assunto, conforme listado nas tabelas "Software afetado" e "Software não afetado" no boletim.
| CVE ID | Título da vulnerabilidade | Avaliação de exploração para\ Versão mais recente do software | Avaliação de exploração para\ Versão de software mais antiga | Negação de Serviço\ Avaliação da Exploração |
|---|---|---|---|---|
| CVE-2017-0290 | Vulnerabilidade de corrupção de memória do mecanismo de script | 2 - Exploração menos provável | 2 - Exploração menos provável | Não aplicável |
Perguntas frequentes sobre o Advisory
A Microsoft está lançando um Boletim de Segurança para resolver essa vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança informativa para informar aos clientes que uma atualização do Mecanismo de Proteção contra Malware da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.
Por que nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza com frequência as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado com essas atualizações em tempo hábil.
Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que as definições de malware e o Mecanismo de Proteção contra Malware da Microsoft sejam mantidos atualizados automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.
As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações do Mecanismo de Proteção contra Malware da Microsoft e definições de malware, está funcionando conforme o esperado em seu ambiente.
Com que frequência o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware são atualizados?
A Microsoft normalmente lança uma atualização para o Mecanismo de Proteção contra Malware da Microsoft uma vez por mês ou conforme necessário para proteger contra novas ameaças. A Microsoft também costuma atualizar as definições de malware três vezes ao dia e pode aumentar a frequência quando necessário.
Dependendo de qual software antimalware da Microsoft é usado e como ele é configurado, o software pode procurar atualizações de mecanismo e definição todos os dias quando conectado à Internet, até várias vezes ao dia. Os clientes também podem optar por verificar manualmente se há atualizações a qualquer momento.
Como posso instalar a atualização?
Consulte a seção Ações sugeridas para obter detalhes sobre como instalar essa atualização.
O que é o Mecanismo de Proteção contra Malware da Microsoft?
O Mecanismo de Proteção contra Malware da Microsoft, mpengine.dll, fornece os recursos de varredura, detecção e limpeza para o software antivírus e antispyware da Microsoft.
Esta atualização contém alguma alteração adicional de funcionalidade relacionada à segurança?
Sim. Além das alterações listadas para esta vulnerabilidade, esta atualização inclui atualizações de defesa profunda para ajudar a melhorar os recursos relacionados à segurança.
Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.
Vulnerabilidade de execução remota de código do mecanismo de proteção contra malware da Microsoft - CVE-2017-0290
Existe uma vulnerabilidade de execução remota de código quando o Mecanismo de Proteção contra Malware da Microsoft não verifica corretamente um arquivo especialmente criado, levando à corrupção de memória.
O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle do sistema. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Para explorar esta vulnerabilidade, um ficheiro especialmente concebido para o efeito tem de ser analisado por uma versão afectada do Mecanismo de Proteção contra Malware da Microsoft. Há muitas maneiras de um invasor colocar um arquivo especialmente criado em um local verificado pelo Mecanismo de Proteção contra Malware da Microsoft. Por exemplo, um invasor pode usar um site para entregar um arquivo especialmente criado ao sistema da vítima que é verificado quando o site é exibido pelo usuário. Um invasor também pode entregar um arquivo especialmente criado por meio de uma mensagem de email ou em uma mensagem do Instant Messenger que é verificada quando o arquivo é aberto. Além disso, um invasor pode aproveitar sites que aceitam ou hospedam conteúdo fornecido pelo usuário para carregar um arquivo especialmente criado em um local compartilhado que é verificado pelo Mecanismo de Proteção contra Malware em execução no servidor de hospedagem.
Se o software antimalware afetado tiver a proteção em tempo real ativada, o Mecanismo de Proteção contra Malware da Microsoft verificará os arquivos automaticamente, levando à exploração da vulnerabilidade quando o arquivo especialmente criado for verificado. Se a verificação em tempo real não estiver habilitada, o invasor precisará aguardar até que uma verificação agendada ocorra para que a vulnerabilidade seja explorada. Todos os sistemas que executam uma versão afetada do software antimalware são os que correm mais risco.
A atualização elimina a vulnerabilidade corrigindo a maneira como o Mecanismo de Proteção contra Malware da Microsoft verifica arquivos especialmente criados.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.
A Microsoft não havia recebido nenhuma informação que indicasse que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este comunicado de segurança foi publicado originalmente.
Ações sugeridas
Verifique se a atualização está instalada
Os clientes devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.Para obter mais informações sobre como verificar o número da versão do Mecanismo de Proteção contra Malware da Microsoft que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Para software afetado, verifique se a versão do Mecanismo de Proteção contra Malware da Microsoft é 1.1.13704.0 ou posterior.
Se necessário, instale a atualização
Os administradores de implantações de antimalware corporativo devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente do Mecanismo de Proteção contra Malware da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.Para usuários finais, o software afetado fornece mecanismos internos para a detecção automática e a implantação dessa atualização. Para esses clientes, a atualização será aplicada em até 48 horas após sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.
Para obter mais informações sobre como atualizar manualmente o Mecanismo de Proteção contra Malware da Microsoft e as definições de malware, consulte o Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Natalie Silvanovich e Tavis Ormandy do Google Project Zero
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de maio de 2017): Comunicado publicado.
- V1.1 (11 de maio de 2017): Adicionado link para as mesmas informações no Guia de Atualização de Segurança. Esta é apenas uma alteração informativa.
- V1.2 (12 de maio de 2017): Entradas adicionadas à tabela de software afetado. Esta é apenas uma alteração informativa.
Página gerada em 14/06/2017 10:20-07:00.