本帖最后由 ELOHIM 于 2013-4-17 19:19 编辑
Microsoft 安全公告 MS13-034 - 重要Microsoft 反恶意软件客户端中的漏洞可能允许特权提升 (2823482)发布时间: 2013年4月9日
版本: 1.0
一般信息摘要此安全更新可解决 Microsoft 反恶意软件客户端中一个秘密报告的漏洞。由于 Microsoft 反恶意软件客户端使用的路径名称,此漏洞可能允许特权提升。成功利用此漏洞的攻击者可执行任意代码,并可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
对于用于 Windows 8 和 Windows RT 的 Windows Defender 受支持版本中的 Microsoft 反恶意软件客户端,此安全更新的等级为“重要”。对于其他 Microsoft 反恶意软件程序中的 Microsoft 反恶意软件客户端,此安全更新没有严重等级。有关详细信息,请参阅本节中“受影响和不受影响的软件”小节。
该安全更新通过更正 Microsoft 反恶意软件客户端使用的路径名称来解决漏洞。有关这些漏洞的详细信息,请参阅下一节“漏洞信息”下面特定漏洞条目的“常见问题 (FAQ)”小节。
建议。 大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
Top of section知识库文章知识库文章2823482
文件信息是
SHA1/SHA2 哈希是
已知问题无Top of section受影响和不受影响的软件已对下列软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期。
受影响的软件
反恶意软件最大安全影响综合严重等级替代的更新
用于 Windows 8 和 Windows RT 的 Windows Defender[1]
(2781197)特权提升重要无[1]此更新通过 Windows Update 提供。
不受影响的软件
反恶意软件
用于 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的 Windows Defender
Microsoft 安全基础教程
Microsoft Forefront Client Security
Microsoft Forefront Endpoint Protection 2010
Microsoft System Center 2012 Endpoint Protection
Microsoft System Center 2012 Endpoint Protection Service Pack 1
Windows Intune Endpoint Protection
Microsoft System Center 2012 Endpoint Protection for Linux
Microsoft System Center 2012 Endpoint Protection for Mac
Microsoft System Center 2012 Endpoint Protection for Mac Service Pack 1
Microsoft 恶意软件删除工具
Microsoft Antigen for Exchange
Microsoft Antigen for SMTP Gateway
Forefront Security for Exchange Server
Forefront Protection 2010 for Exchange Server
Forefront Threat Management Gateway 2010 Service Pack 2
Microsoft Forefront Security for SharePoint
Forefront Security for Office Communications Server
Microsoft 独立系统清理程序(包含在 Microsoft 诊断与恢复工具集中)Top of section更新常见问题此更新是否包含任何其他与安全性无关的功能更改?
是。除了本公告“漏洞信息”部分列出的更改外,此更新还包括 Microsoft 知识库文章 2781197 中介绍的其他功能更改。
什么是 Windows Defender?
Windows Defender 是现在包括在 Windows 8 中的一种免费反恶意软件。它帮助保护用户的计算机免受恶意软件和其他可能有害的软件的攻击。Windows Defender 提供实时保护和随时扫描选项。
此更新适用于 Windows Defender 中的哪些 Microsoft 反恶意软件客户端版本
如果 Microsoft 反恶意软件客户端的版本大于或等于版本 4.2.223.0,那么您的客户端已更新,您不需要进一步采取操作。如果 Microsoft 反恶意软件客户端的版本小于版本 4.2.223.0,那么您应该安装此更新。
有关如何确认您当前使用软件的客户端版本号的详细信息,请参阅 Microsoft 知识库文章 2510781 中的“确认更新安装”部分。
Microsoft 反恶意软件客户端是否使用 Microsoft 恶意软件保护引擎 和 恶意软件定义更新进行了更新?
否。Microsoft 通过标准分发方法(如 Microsoft Update 服务)为 Microsoft 反恶意软件客户端发布了更新。Microsoft 反恶意软件客户端的更新独立于恶意软件定义更新。
在哪里可以找到有关 Microsoft 反恶意软件技术的详细信息?
有关详细信息,请访问 Microsoft 恶意软件保护中心网站。
我正在使用本安全公告中讨论的软件的较旧版本。我该怎么办?
已对本公告中列出的受影响的软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束。有关产品生命周期的详细信息,请参阅 Microsoft 产品技术支持生命周期网站。
使用该软件的较旧版本的客户应优先考虑迁移到受支持的版本,以防止可能会受到新出现漏洞的影响。要确定您的软件版本的技术支持生命周期,请参阅选择一项产品以获取生命周期信息。有关这些软件版本的 Service Pack 的详细信息,请参阅Service Pack 生命周期支持策略。
如果用户需要获得较旧软件的定制支持,则必须与其 Microsoft 客服小组代表、其技术客户经理或适当的 Microsoft 合作伙伴代表联系以了解定制支持选项。没有联合合同、优先支持合同或授权合同的客户可与其当地的 Microsoft 销售分支机构联系。有关联系信息,请参阅 Microsoft Worldwide Information 网站,在联系信息列表中选择国家/地区,然后单击“Go”以查看电话号码列表。在拨打电话时,请找当地的“企业技术咨询支持服务”销售经理进行洽谈。有关详细信息,请参阅 Microsoft 技术支持生命周期策略常见问题。
Top of section
漏洞信息严重等级和漏洞标识符以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 4 月份公告摘要中的利用指数。有关详细信息,请参阅 Microsoft 利用指数。
按受影响软件列出的漏洞严重等级和最大安全影响反恶意软件Microsoft 反恶意软件不正确路径名称漏洞 - CVE-2013-0078综合严重等级
用于 Windows 8 和 Windows RT 的 Windows Defender重要
特权提升重要Top of section
Microsoft 反恶意软件不正确路径名称漏洞 - CVE-2013-0078这是一个特权提升漏洞。成功利用此漏洞的攻击者可以在 LocalSystem 帐户的安全上下文中执行任意代码并完全控制系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
要在“常见漏洞和披露”列表中以标准条目查看此漏洞,请参阅 CVE-2013-0078。
缓解因素缓解是指一种设置、通用配置或者一般的最佳实践,它以默认状态存在,能够降低利用漏洞的严重性。以下缓解因素在您遇到的情形中可能会有所帮助:
- 攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
- 在 Windows 8 默认配置中,标准用户没有权限将文件写入到系统上的根目录。这可缓解此漏洞,因为在默认配置中,标准用户不具有利用此漏洞的必要权限。
Top of section
变通办法变通办法是指一种设置或配置更改,它不能从根本上纠正漏洞,但有助于在应用更新之前封堵已知的攻击源。Microsoft 已测试了以下变通方法,并在讨论中指明了变通方法是否会降低功能性:
- 更正 Windows 8 和 Windows RT 系统上的 Windows Defender 映像路径名称使用此变通办法来在 Windows 8 和 Windows RT 系统上阻止该漏洞的攻击媒介。
警告 如果不正确地使用注册表编辑器,可能导致严重的问题,或许需要您重新安装操作系统。Microsoft 不保证您可以解决因错误运用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。
- 创建注册表项的备份。可通过作为管理员执行以下命令来使用管理的部署脚本创建备份副本: Regedit.exe /e c:\temp\Windefend_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
注意 当以管理员身份运行时,以上命令将在 c:\temp 文件夹中创建名为“Windefend_backup.reg”的文件。
- 创建一个包含下列内容并且名为 Windefend_ImagePath_fix.reg 的文本文件:Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\
69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\
00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\
4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00
将 Windefend_ImagePath_fix.reg 文件保存到 c:\temp 文件夹。
- 在目标系统上,通过使用以下其中一种方法来运行在步骤 2 中创建的注册表脚本: 方法 1:
双击 Windefend_ImagePath_fix.reg 文件。
应显示以下确认消息:
包含在 C:\temp\Windefend_ImagePath_fix.reg 中的项和值已成功添加到注册表中。
方法 2:
或者,以管理员身份执行以下命令:
Regedit /s c:\temp\Windefend_ImagePath_fix.reg
警告 当使用上面的命令行方法时,不会显示确认消息。不将通知您注册表项和值是否已成功添加到注册表。
变通办法的影响。 无。此变通办法会将映像路径名称更改为正确的值。
如何撤消变通方法。
通过使用以下其中一种方法来还原您在步骤 1 中创建的备份文件:
- 双击 Windefend_backup.reg 文件。应显示以下确认消息:
包含在 C:\temp\Windefend_backup.reg 中的项和值已成功添加到注册表中。
- 或者,以管理员身份执行以下命令: Regedit /s c:\temp\Windefend_backup.reg
警告 当使用上面的命令行方法时,不会显示确认消息。不将通知您注册表项和值是否已成功添加到注册表。
Top of section
常见问题此漏洞的影响范围有多大?
这是一个特权提升漏洞。
造成此漏洞的原因是什么?
当 Microsoft 反恶意软件客户端使用不正确的路径名称时,会导致该漏洞。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可以在 LocalSystem 帐户的安全上下文中执行任意代码并完全控制系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
什么是 LocalSystem 帐户? LocalSystem
LocalSystem 帐户是服务控制管理器使用的预定义的本地帐户。它在本地计算机上具有广泛的特权并用作网络上的计算机。其令牌包括 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;这些帐户可以访问大多数系统对象。在 LocalSystem 帐户的上下文中运行的服务继承服务控制管理器的安全上下文。大多数服务不需要这么高的特权级别。有关详细信息,请参阅 MSDN 文章 LocalSystem 帐户。
攻击者如何利用此漏洞?
要利用此漏洞,攻击者必须先登录到系统。然后,攻击者可以运行一个经过特制的、可利用此漏洞的应用程序。
受此漏洞威胁最大的系统有哪些?
Windows 8 工作站受到的威胁最大。
此更新有什么作用?
该更新通过更正 Microsoft 反恶意软件客户端使用的路径名称来解决漏洞。
发布此安全通报时,此漏洞是否已公开披露?
否。Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。
发布此安全公告时,Microsoft 是否收到任何有关此漏洞已被利用的报告?
否。在最初发布此安全通报时,Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息,也没有看到任何发布的概念代码证明示例。
Top of section
Top of section
更新信息检测和部署工具及指导许多资源可帮助管理员部署安全更新。
- 管理员可使用 Microsoft Baseline Security Analyzer (MBSA) 在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager (SCCM) 帮助管理员分发安全更新。
- Application Compatibility Toolkit 随附的更新兼容性评估程序组件针对安装的应用程序协助简化 Windows 更新的测试和验证。
有关这些工具和跨网络部署安全更新的指导的详细信息,请参阅 IT 专业人员安全工具。
Top of section
安全更新部署受影响的软件
有关您的受影响软件的特定安全更新信息,请单击相应的链接:
反恶意软件客户端更新先决条件
此安全更新要求您已经安装了以下反恶意软件程序之一:
- 用于 Windows 8 和 Windows RT 的 Windows Defender
安装更新
企业反恶意软件部署的管理员应该确保他们的更新管理软件配置为自动批准和分发 Microsoft 反恶意软件客户端、Microsoft 恶意软件保护引擎和定义更新。
对于企业部署以及最终用户,通常通过更新管理软件或自动更新下载并安装此更新。
最终用户还可以通过使用 Microsoft Update 或 Windows Update 服务检查更新来手动更新其反恶意软件客户端软件,取决于操作系统和反恶意软件。有关详细信息,请参阅下表:
软件更新机制
用于 Windows 8 和 Windows RT 的 Windows DefenderWindows Update用于 Windows 8 的 Windows Defender 的更新程序包也可以从 Microsoft 下载中心获得。有关下载详细信息,请参阅 Microsoft 知识库文章 2781197。
验证更新安装
您可以通过验证 Microsoft 反恶意软件客户端的版本号来验证是否已安装此更新。
如果您的 Microsoft 反恶意软件客户端版本等于 4.2.223.0,则此更新已安装。
注意 如果 Microsoft 反恶意软件客户端的版本大于或等于版本 4.2.223.0,那么反恶意软件程序不受此漏洞的影响,您不需要采取进一步操作。
有关如何确认您当前使用软件的客户端版本号的详细信息,请参阅 Microsoft 知识库文章 2510781 中的“确认更新安装”部分。
重新启动要求
是,应用此安全更新后必须重新启动系统。
删除更新
单击“控制面板”,单击“系统和安全”,单击“Windows Update”,然后在“另请参阅”下方单击“安装的更新”,并从更新列表中选择。
Top of section
Top of section
其他信息鸣谢Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:
- Intel 的 Bruce Monroe 报告了 Microsoft 反恶意软件不正确路径名称漏洞 (CVE-2013-0078)
- Shai Sarfaty 报告了 Microsoft 反恶意软件不正确路径名称漏洞 (CVE-2013-0078)
- Centrica 的 Tony Robotham 报告了 Microsoft 反恶意软件不正确路径名称漏洞 (CVE-2013-0078)
Top of sectionMicrosoft Active Protections Program (MAPP)为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请转到计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。
#############################################################
|
发表于 2013-4-17 19:14:37
楼主
