Comunicado de Segurança da Microsoft 3074162
Vulnerabilidade na ferramenta de remoção de software mal-intencionado da Microsoft pode permitir elevação de privilégio
Publicado em: 14 de julho de 2015
Versão: 1.0
Resumo executivo
A Microsoft está lançando este comunicado de segurança para informar aos clientes que uma atualização para a Ferramenta de Remoção de Software Mal-Intencionado (MSRT) da Microsoft está disponível que elimina uma vulnerabilidade de segurança que foi relatada à Microsoft. A vulnerabilidade pode permitir a elevação de privilégio se um invasor fizer logon em um sistema de destino e colocar um arquivo de biblioteca de vínculo dinâmico (.dll) especialmente criado em um diretório local. Um invasor autenticado que explorar com êxito a vulnerabilidade poderá elevar os privilégios em um sistema de destino. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos administrativos completos.
Os administradores de instalações corporativas devem seguir seus processos internos estabelecidos para garantir que as atualizações sejam aprovadas em seu software de gerenciamento de atualizações e que os clientes consumam as atualizações adequadamente.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar atualizações para a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, porque o mecanismo interno para a detecção automática e implantação de atualizações aplicará a atualização dentro de 48 horas após o lançamento. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2015-2418 |
| Última versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft afetada por esta vulnerabilidade | Versão 5.25. |
| Primeira versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft com esta vulnerabilidade abordada | Versão 5.26* |
*Se a sua versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft for igual ou superior a esta versão, você não será afetado por esta vulnerabilidade e não precisará tomar nenhuma ação adicional. Para obter mais informações sobre como verificar o número da versão do mecanismo que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
Este comunicado aborda o seguinte software.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | |
|---|---|
| Antimalware Software | Vulnerabilidade de condição de corrida da MSRT - CVE-2015-2418 |
| Ferramenta de Remoção de Software Mal-Intencionado da Microsoft[1](3074162) | Importante elevação de privilégio |
[1]Aplica-se somente a maio de 2015 ou versões anteriores da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft.
Índice de Exploração
A tabela a seguir fornece uma avaliação da capacidade de exploração da vulnerabilidade abordada neste comunicado.
Como faço para usar esta tabela?
Use esta tabela para saber mais sobre a probabilidade de o código de exploração em funcionamento ser liberado dentro de 30 dias após esta versão do comunicado. Você deve revisar a avaliação abaixo, de acordo com sua configuração específica, para priorizar sua implantação. Para obter mais informações sobre o que essas classificações significam e como elas são determinadas, consulte Índice de exploração da Microsoft.
| Título da vulnerabilidade | **ID CVE ** | Avaliação de exploração para a versão mais recente do software | Avaliação de exploração para versões mais antigas de software | Avaliação da Exploração da Elevação de Privilégio | Notas principais |
|---|---|---|---|---|---|
| Vulnerabilidade de condição de corrida da MSRT | CVE-2015-2418 | 3 - Exploração improvável | 3 - Exploração improvável | Permanente | Esta é uma vulnerabilidade de elevação de privilégio.\ \ A exploração desta vulnerabilidade pode fazer com que o sistema operacional ou um aplicativo pare de responder permanentemente até que seja reiniciado manualmente. Também pode fazer com que um aplicativo feche ou feche inesperadamente sem se recuperar automaticamente. |
Perguntas frequentes sobre o Advisory
A Microsoft está lançando um Boletim de Segurança para resolver essa vulnerabilidade?
Não. A Microsoft está lançando este comunicado de segurança informativo para informar aos clientes que uma atualização da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft elimina uma vulnerabilidade de segurança que foi relatada à Microsoft.
Normalmente, nenhuma ação é necessária dos administradores corporativos ou usuários finais para instalar essa atualização.
Por que normalmente nenhuma ação é necessária para instalar esta atualização?
Em resposta a um cenário de ameaças em constante mudança, a Microsoft atualiza frequentemente o software antimalware da Microsoft, incluindo a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft. Para ser eficaz em ajudar a proteger contra ameaças novas e prevalentes, o software antimalware deve ser mantido atualizado e atualizado em tempo hábil.
Para implantações corporativas, bem como usuários finais, a configuração padrão no software antimalware da Microsoft ajuda a garantir que a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft seja mantida atualizada automaticamente. A documentação do produto também recomenda que os produtos sejam configurados para atualização automática.
As práticas recomendadas recomendam que os clientes verifiquem regularmente se a distribuição de software, como a implantação automática de atualizações da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, está funcionando conforme o esperado em seu ambiente.
Como posso instalar a atualização?
Consulte a seção Ações sugeridas para obter detalhes sobre como instalar essa atualização.
Onde posso encontrar mais informações sobre a tecnologia antimalware da Microsoft?
Para obter mais informações, visite o site do Centro de Proteção contra Malware da Microsoft.
Informações de vulnerabilidade
Vulnerabilidade de condição de corrida da MSRT - CVE-2015-2418
Existe uma vulnerabilidade de elevação de privilégio na Ferramenta de Remoção de Software Mal-Intencionado (MSRT) da Microsoft quando ela não manipula corretamente uma condição de corrida envolvendo um cenário de plantio de DLL. Um invasor autenticado que explorar com êxito essa vulnerabilidade poderá elevar os privilégios em um sistema de destino. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos administrativos completos.
Para explorar a vulnerabilidade, um intruso teria de iniciar sessão no sistema de destino e colocar um ficheiro de biblioteca de ligações dinâmicas (.dll) especialmente concebido para o efeito num directório local. Um invasor teria que esperar que o usuário executasse a MSRT, que, por sua vez, executaria o código mal-intencionado do invasor para aumentar efetivamente os privilégios no sistema de destino. A atualização elimina a vulnerabilidade corrigindo como a MSRT lida com as condições de corrida.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Ações sugeridas
Verifique se a atualização está instalada
Os clientes devem verificar se a versão mais recente da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft e as atualizações de definição estão sendo baixadas e instaladas ativamente para seus produtos antimalware da Microsoft.
Para obter mais informações sobre como verificar o número da versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft que seu software está usando no momento, consulte a seção "Verificando a instalação da atualização", no Artigo 2510781 da Base de Dados de Conhecimento Microsoft.
Para software afetado, verifique se a versão da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft é 5.26 ou posterior.
Se necessário, instale a atualização
Os administradores de implantações de antimalware corporativo devem garantir que seu software de gerenciamento de atualizações esteja configurado para aprovar e distribuir automaticamente atualizações de mecanismo e novas definições de malware. Os administradores corporativos também devem verificar se a versão mais recente da Ferramenta de Remoção de Software Mal-Intencionado da Microsoft e as atualizações de definição estão sendo baixadas, aprovadas e implantadas ativamente em seu ambiente.
Os administradores também podem obter a atualização por meio do Centro de Download da Microsoft (consulte a tabela Softwares afetados neste Comunicado para obter um link para a página do Centro de Download relevante).
Para usuários finais, o software afetado fornece mecanismos internos para a detecção automática e a implantação dessa atualização. Para esses clientes, a atualização será aplicada em até 48 horas após sua disponibilidade. O período exato depende do software usado, da conexão com a Internet e da configuração da infraestrutura. Os usuários finais que não desejam esperar podem atualizar manualmente seu software antimalware.
Para obter mais informações sobre como atualizar manualmente a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft e as definições de malware, consulte o Artigo 2510781 (em inglês) da Microsoft Knowledge Base.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de julho de 2015): Comunicado publicado.
Página gerada em 23/07/2015 9:46Z-07:00.