更新至1.1.6603.0 扫杀貌似提速了TechNet 主页 >TechNet 安全 >Security Advisories安全通报
Microsoft 安全公告 (2491888)在 Microsoft 恶意软件保护引擎中的漏洞可能允许特权提升发布时间: 2011年 2 月 23日,
版本: 1.0
一般信息执行摘要 Microsoft 将发布此安全咨询帮助确保客户知道 Microsoft 恶意软件保护引擎的更新还解决了一个安全漏洞,该漏洞报告给 Microsoft。更新解决一个私下报告的漏洞可能允许特权提升,如果 Microsoft 恶意软件保护引擎扫描系统后具有有效的登录凭据的攻击者创建了一个特制的注册表项。攻击者成功利用此漏洞可以获得相同的用户权限,以本地系统帐户。匿名用户不能利用该漏洞。
Microsoft 恶意软件保护引擎既然能的几种 Microsoft 反恶意软件产品的一部分,Microsoft 恶意软件保护引擎更新将随更新恶意软件定义为受影响的产品一起安装。企业安装管理员应按照其既定的内部过程,以确保定义和引擎更新获准在它们的更新管理软件和客户端因此占用的更新。
通常,,因为用于自动检测和部署此更新的内置机制将在 48 小时内的更新,也不不需要企业管理员或最终用户安装此更新程序的任何操作。确切的时间取决于使用的软件、 互联网连接和基础结构配置。
部分的顶部
咨询详细信息问题的引用 有关此问题的详细信息,请参见以下参考资料:
引用鉴定
CVE 参考
受此漏洞的 Microsoft 恶意软件保护引擎的最后一个版本
版本 1.1.6502.0*
第一个版本的 Microsoft 恶意软件保护引擎与解决该漏洞
版本 1.1.6603.0**
* 此版本是最新版本的 Microsoft 恶意软件保护引擎,受此漏洞。
** 如果您的版本的 Microsoft 恶意软件保护引擎是等于或大于此版本,然后你会不会受此漏洞并不需要采取任何进一步的行动。如何验证您的软件当前正在使用的引擎版本号的详细信息请参阅第"验证更新安装",在
Microsoft 知识库文章 2510781。
受影响的软件和严重等级 Microsoft 恶意软件保护引擎是几种 Microsoft 反恶意软件产品。取决于所受影响 Microsoft 反恶意软件产品安装,此更新可能会有不同的严重等级。以下的严重等级承担漏洞的潜在的最大影响。
受影响的软件
漏洞严重等级和受影响的软件的最大安全影响
反恶意软件Microsoft 恶意软件保护引擎漏洞-CVE-2011年-0037
Windows 活新
重要
特权提升
Microsoft 安全要点
重要
特权提升
Microsoft Windows Defender
重要
特权提升
邮件客户端安全性
重要
特权提升
微软最前沿的端点保护 2010
重要
特权提升
微软恶意软件删除工具
重要
特权提升
非受影响的软件
反恶意软件
微软抗原的交流
微软抗原的 SMTP 网关
Exchange 服务器的保护 2010年最前沿
威胁管理网关最前沿 2010
微软最前沿的 SharePoint 安全
办公室通信服务器的最前沿安全
独立系统扫路车微软 (Microsoft 诊断和恢复的一部分)
部分的顶部
下表提供了在此报告中解决此漏洞的可开发性评估。
如何使用此表?
使用此表来了解有关此咨询版的 30 天内被释放的运作漏洞攻击代码的可能性。应审查符合您的特定配置的下面,评估以确定您的部署的优先级。这些评级是什么意思,以及如何确定它们的详细信息,请参阅
Microsoft 开发索引。
关键说明
Microsoft 恶意软件保护引擎漏洞
这是一个提升权限漏洞
部分的顶部
微软发布安全公告来消除此漏洞吗?
号Microsoft 将发布此信息的安全咨询,帮助确保客户知道此 Microsoft 恶意软件保护引擎更新还解决了报告给 Microsoft 的安全漏洞。
不采取行动通常所需的企业管理员或最终用户安装此更新。
为什么是通常不需要采取行动来安装此更新?
为了不断变化的威胁景观微软经常更新恶意软件定义和 Microsoft 恶意软件保护引擎。为了帮助防止新流行的威胁行之有效反恶意软件必须跟上这些更新及时的方式。
企业部署以及最终用户在 Microsoft 反恶意软件的默认配置可帮助确保恶意软件定义和 Microsoft 恶意软件保护引擎保持最新状态自动。产品文档还建议产品都配置为自动更新。
最佳做法建议客户定期验证软件分发如 Microsoft 恶意软件保护引擎更新和恶意软件定义的自动部署是否正常工作,预期在其环境中。
更新的 Microsoft 恶意软件保护引擎和恶意软件定义频率如何?
Microsoft 通常发布的更新,Microsoft 恶意软件保护引擎每月一次或根据需要防范新的威胁。微软也通常更新恶意软件定义每日三次,并且可以增加时所需的频率。
取决于使用的 Microsoft 反恶意软件,并如何配置软件可搜索引擎和定义更新每一天都连接到 Internet 上每天多次时。客户还可以选择手动检查更新的任何时候。
如何安装此更新?
企业安装管理员应按照其既定的内部过程,以确保定义和引擎更新获准在它们的更新管理软件和客户端因此占用的更新。
对于最终用户因为将下载并通过自动更新或其反恶意软件会自动安装此安全更新,不不需要任何进一步的操作。有关如何配置反恶意软件的信息,请参阅您的产品文档。
最终用户想要手动安装此更新,请参阅下表。
请注意通过 Microsoft 更新可用的更新将被列为重要。寻找适当的更新您的软件的名称与在圆括号 () 在下表中列出的示例类似。
软件更新机制其他的更新方法
Microsoft 安全要点
Microsoft Windows Defender
邮件客户端安全性
微软最前沿的端点保护 2010
微软更新
(示例:"Microsoft 最前沿的端点保护 2010年的定义更新")
微软恶意软件删除工具
在 2011 年 3 月 8 (星期二)
(无)
Microsoft 恶意软件保护引擎是什么?
Microsoft 恶意软件保护引擎,mpengine.dll,提供扫描,检测,和清除 Microsoft 防病毒和反间谍软件的功能。详细信息请参阅第条 Microsoft 恶意软件保护引擎部署,后来在此咨询。
在哪里可以找到有关 Microsoft 反恶意软件技术的详细信息?
详细信息请访问 Microsoft 恶意软件保护中心 网站。
为什么 ISA 服务器没有列在受影响或不受影响的软件列表中?
虽然微软互联网安全和加速 (ISA) 服务器是前任的最前沿的威胁管理网关 2010年 (TMG),ISA 服务器不包含 Microsoft 恶意软件保护引擎,并因此被认为在此咨询。在最前沿 TMG 首次提交恶意软件扫描使用 Microsoft 恶意软件保护引擎。关于前沿 TMG 中的新功能的详细信息请参阅 什么是新 的最前沿的威胁管理网关 2010年页面。
在这次为什么没有更新的恶意软件删除工具 (MSRT) 可用?
只可以通过 MSRT 利用此漏洞,MSRT 提供和使用后这段时间 MSRT 仅一次运行的自动更新下载时。攻击者不能通过手动运行 MSRT 利用此漏洞。微软计划发布问题在 2011 年 3 月 8 (星期二) 在恶意软件删除工具的更新的版本。
部分的顶部
| Microsoft 恶意软件保护引擎漏洞-CVE-2011年-0037 常见问题 |
该漏洞的范围是什么?
这是一个提升权限漏洞。成功利用此漏洞的攻击者可以在本地系统帐户的安全上下文中执行任意代码。攻击者可随后安装程序 ;查看、 更改,或删除数据 ;或创建具有完全用户权限的新帐户。
什么原因导致此漏洞?
Microsoft 恶意软件保护引擎无法正确处理的攻击已设置为一个特制的值的注册表项时,被导致该漏洞。
攻击者可能利用此漏洞执行什么?
成功利用此漏洞的攻击者可以在本地系统帐户的安全上下文中执行任意代码和系统的完全控制。攻击者可随后安装程序 ;查看、 更改,或删除数据 ;或创建具有完全用户权限的新帐户。
本地系统帐户是什么?
本地系统帐户是由服务控制管理器使用的预定义本地帐户。它在本地计算机上具有广泛的权限,并作为在网络上的计算机。其标记包括 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators 小岛屿发展中国家 ;这些帐户具有对大多数系统对象的访问。在本地系统帐户的上下文中运行的服务将继承的服务控制管理器中的安全上下文。大多数服务不需要这种较高的权限级别。有关详细信息,请参阅 本地系统帐户 的 MSDN 文章。
如何,攻击者可以利用此漏洞?
此漏洞需要特制的注册表位置将由一个受影响的版本的 Microsoft 恶意软件保护引擎扫描。该漏洞攻击将首先要登录到该的系统上,然后将用户注册表项设置为一个特制的值。
受影响的防恶意软件软件是否能实时保护打开 Microsoft 恶意软件保护引擎将扫描位置自动,导致利用此漏洞,允许攻击者完全控制受影响的系统。如果未启用实时扫描,攻击者需要等待,直到在为此漏洞被利用,并采取完全控制受影响的系统中发生的计划的扫描。攻击者不可以利用此漏洞,通过手动启动扫描。
此外,系统扫描时使用受影响的版本的恶意软件删除工具 (MSRT) 时,可能会发生利用此漏洞。但是,如果已经上系统运行 MSRT 的当前版本,有一个攻击者无法使用 MSRT 来利用此漏洞。
系统主要是在该漏洞带来的风险是什么?
工作站和终端服务器受到威胁。如果有足够的管理权限的用户被授予登录到服务器上,并运行程序,服务器可能在更多的风险。然而,最佳做法坚决不允许这样做。
此更新的作用是什么?
此更新通过纠正的 Microsoft 恶意软件保护引擎处理从注册表中读取值的方式来解决该漏洞。
当发出此安全咨询时,此漏洞是否已公开披露?
号微软收到此漏洞通过协调的漏洞披露有关信息。
当发出此安全咨询时,微软收到任何利用此漏洞的报告吗?
号微软没有收到任何表明此漏洞已公开使用最初发布此安全咨询时攻击客户的信息。
部分的顶部
缓解措施是指设置、 常见的配置或一般的最佳中存在的一个,可以减少此问题的严重性的默认状态。以下减轻影响的因素,可在您的情况:
| • | 攻击者必须拥有有效的登录凭据来利用此漏洞。匿名用户不能利用该漏洞。 |
| • | 要利用此漏洞,MSRT 尚未在系统上运行的情况下,才,攻击者可以使用恶意软件删除工具 (MSRT)。在过所最终用户的半数的 MSRT 的当前版本将已下载并通过自动更新自动运行。 |
部分的顶部
通常是企业管理员或最终用户安装此更新所需的任何操作。Microsoft 建议客户保持恶意软件定义到目前为止在所有时间。客户应验证是否最新版本的 Microsoft 恶意软件保护引擎和定义更新正在积极地下载并安装其 Microsoft 反恶意软件产品。
企业反恶意软件部署管理员应确保它们的更新管理软件被配置为自动批准和分发引擎更新和新的恶意软件定义。企业管理员还应该验证最新版本的 Microsoft 恶意软件保护引擎和定义更新正在积极下载,批准并在其环境中部署。
为最终用户,受影响的软件提供了内置的机制,用于自动检测和部署此更新。这些客户将其可用性的 48 小时内应用更新。确切的时间取决于使用的软件、 互联网连接和基础结构配置。不想等待的最终用户可以手动更新其反恶意软件。
部分的顶部
部分的顶部
其他信息确认 | • | · 塞萨尔 · 塞鲁多的报告 Microsoft 恶意软件保护引擎漏洞 (CVE-2011年-0037) Argeniss |
部分的顶部
微软主动保护程序 (MAPP) 为了提高客户的安全保护,微软每月安全更新发布前的重大安全软件提供商提供了漏洞信息。然后,安全软件提供程序可以使用此漏洞信息为通过其安全软件或防病毒、 基于网络的入侵检测系统或基于主机的入侵防御系统等设备的客户提供最新的保护。若要决心积极保护是否可从安全软件提供程序,请访问活动保护在
Microsoft 积极保护程序 (MAPP) 伙伴 中列出的程序伙伴提供的 Web 站点。
反馈 | • | 您可以通过完成以下 Microsoft 帮助和支持表格 客户服务联系我们 提供反馈信息。 |
部分的顶部
支持 | • | |
| • | 国际客户可以从本地 Microsoft 附属公司获得支持。有关如何与 Microsoft 联系国际支持问题的更多信息,请访问 国际支持。 |
| • | |
部分的顶部
免责声明 本通报中提供的信息被提供任何形式的担保。Microsoft 不承担任何明示或暗示包括对适销性和针对特定用途的适用性的保证的所有担保。在任何情况微软公司或其供应商须承担任何赔偿责任任何包括直接、 间接、 附带、 相应,商业利润损失或特别损害即使微软公司或其供应商已被告知该类损害的可能性。一些国家不允许排除或限制后果性或附带的损害赔偿责任,因此上述限制可能不适用。
部分的顶部
修订版本 | • | V1.0 (2011 年 2 月-23): 咨询发表。 |
部分的顶部
楼主: 驭龙
发表于 2011-2-23 13:50:48
