Conseils de sécurité Microsoft 4022344
Mise à jour de sécurité pour le moteur de protection contre les programmes malveillants Microsoft
Publication : 8 mai 2017 | Mise à jour : 12 mai 2017
Version : 1.2
Résumé
Microsoft publie cet avis de sécurité pour informer les clients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft résout une vulnérabilité de sécurité signalée à Microsoft.
La mise à jour résout une vulnérabilité qui pourrait autoriser l’exécution de code à distance si le moteur de protection contre les programmes malveillants Microsoft analyse un fichier spécialement conçu. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système.
Le moteur de protection contre les programmes malveillants Microsoft est fourni avec plusieurs produits microsoft anti-programme malveillant. Consultez la section Logiciels affectés pour obtenir la liste des produits affectés. Mises à jour au moteur de protection contre les programmes malveillants Microsoft sont installés avec les définitions de programmes malveillants mises à jour pour les produits concernés. Administration istrateurs des installations d’entreprise doivent suivre leurs processus internes établis pour s’assurer que les mises à jour de définition et de moteur sont approuvées dans leur logiciel de gestion des mises à jour et que les clients consomment les mises à jour en conséquence.
En règle générale, aucune action n’est nécessaire aux administrateurs d’entreprise ou aux utilisateurs finaux pour installer les mises à jour du moteur de protection contre les programmes malveillants Microsoft, car le mécanisme intégré pour la détection et le déploiement automatiques des mises à jour appliqueront la mise à jour dans les 48 heures de publication. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure.
Les informations contenues dans cet avis sont également disponibles dans le Guide de mise à jour de sécurité référencé par CVE-2017-0290.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Informations de référence | Identification |
|---|---|
| Dernière version du moteur de protection contre les programmes malveillants Microsoft affecté par cette vulnérabilité | Version 1.1.13701.0 |
| Première version du moteur de protection contre les programmes malveillants Microsoft avec cette vulnérabilité traitée | Version 1.1.13704.0 |
* Si votre version du moteur de protection contre les programmes malveillants Microsoft est égale ou supérieure à cette version, vous n’êtes pas affecté par cette vulnérabilité et n’avez pas besoin de prendre d’autres mesures. Pour plus d’informations sur la vérification du numéro de version du moteur que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Logiciel anti-programme malveillant | Vulnérabilité d’exécution de code à distance du moteur de protection contre les programmes malveillants Microsoft - CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Critique \ Exécution de code distant |
| Microsoft Endpoint Protection | Critique \ Exécution de code distant |
| Microsoft System Center Endpoint Protection | Critique \ Exécution de code distant |
| Microsoft Security Essentials | Critique \ Exécution de code distant |
| Windows Defender pour Windows 7 | Critique \ Exécution de code distant |
| Windows Defender pour Windows 8.1 | Critique \ Exécution de code distant |
| Windows Defender pour Windows RT 8.1 | Critique \ Exécution de code distant |
| Windows Defender pour Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Critique \ Exécution de code distant |
| Windows Intune Endpoint Protection | Critique \ Exécution de code distant |
| Microsoft Exchange Server 2013 | Critique \ Exécution de code distant |
| Microsoft Exchange Server 2016 | Critique \ Exécution de code distant |
| Microsoft Windows Server 2008 R2 | Critique \ Exécution de code distant |
Index d’exploitabilité
Le tableau suivant fournit une évaluation de l’exploitabilité de chacune des vulnérabilités traitées ce mois-ci. Les vulnérabilités sont répertoriées dans l’ordre de l’ID de bulletin, puis l’ID CVE. Seules les vulnérabilités qui ont une cote de gravité critique ou importante dans les bulletins sont incluses.
Comment faire utiliser ce tableau ?
Utilisez ce tableau pour en savoir plus sur la probabilité d’exécution de code et d’attaques par déni de service dans les 30 jours suivant la publication du bulletin de sécurité, pour chacune des mises à jour de sécurité que vous devrez peut-être installer. Passez en revue chacune des évaluations ci-dessous, conformément à votre configuration spécifique, pour hiérarchiser votre déploiement des mises à jour de ce mois-ci. Pour plus d’informations sur ce que signifient ces évaluations et sur la façon dont elles sont déterminées, consultez Microsoft Exploitability Index.
Dans les colonnes ci-dessous, « Dernière version logicielle » fait référence au logiciel sujet, et « Versions logicielles antérieures » fait référence à toutes les versions antérieures prises en charge du logiciel sujet, comme indiqué dans les tables « Logiciels affectés » et « Logiciels non affectés » dans le bulletin.
| CVE ID | Titre de la vulnérabilité | Évaluation de l’exploitabilité pour\ Dernière version logicielle | Évaluation de l’exploitabilité pour\ Version antérieure du logiciel | Déni de service\ Évaluation de l’exploitabilité |
|---|---|---|---|---|
| CVE-2017-0290 | Vulnérabilité d’altération de la mémoire du moteur de script | 2 - Exploitation moins probable | 2 - Exploitation moins probable | Non applicable |
Faq sur les conseils
Microsoft publie-t-il un bulletin de sécurité pour résoudre cette vulnérabilité ?
Non. Microsoft publie cet avis de sécurité informationnel pour informer les clients qu’une mise à jour du moteur de protection contre les programmes malveillants Microsoft résout une vulnérabilité de sécurité signalée à Microsoft.
En règle générale, aucune action n’est requise pour les administrateurs d’entreprise ou les utilisateurs finaux pour installer cette mise à jour.
Pourquoi aucune action n’est requise pour installer cette mise à jour ?
En réponse à un paysage des menaces en constante évolution, Microsoft met fréquemment à jour les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft. Afin d’être efficace pour vous protéger contre les menaces nouvelles et courantes, les logiciels anti-programme malveillant doivent être mis à jour avec ces mises à jour en temps opportun.
Pour les déploiements d’entreprise ainsi que pour les utilisateurs finaux, la configuration par défaut dans le logiciel anti-programme malveillant Microsoft permet de s’assurer que les définitions de programmes malveillants et le moteur de protection contre les programmes malveillants Microsoft sont conservés automatiquement. La documentation produit recommande également que les produits soient configurés pour la mise à jour automatique.
Les meilleures pratiques recommandent aux clients de vérifier régulièrement si la distribution de logiciels, comme le déploiement automatique des mises à jour du moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, fonctionne comme prévu dans leur environnement.
À quelle fréquence le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants sont-ils mis à jour ?
Microsoft publie généralement une mise à jour pour le moteur de protection contre les programmes malveillants Microsoft une fois par mois ou si nécessaire pour vous protéger contre les nouvelles menaces. Microsoft met également à jour les définitions de programmes malveillants trois fois par jour et peut augmenter la fréquence si nécessaire.
Selon le logiciel anti-programme malveillant Microsoft utilisé et la façon dont il est configuré, le logiciel peut rechercher des mises à jour de moteur et de définition tous les jours lorsqu’il est connecté à Internet, jusqu’à plusieurs fois par jour. Les clients peuvent également choisir de case activée manuellement pour les mises à jour à tout moment.
Comment puis-je installer la mise à jour ?
Pour plus d’informations sur l’installation de cette mise à jour, reportez-vous à la section Actions suggérées.
Qu’est-ce que le moteur de protection contre les programmes malveillants Microsoft ?
Le moteur de protection contre les programmes malveillants Microsoft, mpengine.dll, fournit les fonctionnalités d’analyse, de détection et de propre des logiciels antivirus et anti-espions Microsoft.
Cette mise à jour contient-elle des modifications supplémentaires liées à la sécurité apportées aux fonctionnalités ?
Oui. Outre les modifications répertoriées pour cette vulnérabilité, cette mise à jour inclut des mises à jour de défense en profondeur pour améliorer les fonctionnalités liées à la sécurité.
Où puis-je trouver plus d’informations sur la technologie microsoft anti-programme malveillant ?
Pour plus d’informations, visitez le site web Centre de protection Microsoft contre les programmes malveillants.
Vulnérabilité d’exécution de code à distance du moteur de protection contre les programmes malveillants Microsoft - CVE-2017-0290
Une vulnérabilité d’exécution de code à distance existe lorsque le moteur de protection contre les programmes malveillants Microsoft n’analyse pas correctement un fichier spécialement conçu, ce qui entraîne une altération de la mémoire.
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version affectée du moteur de protection contre les programmes malveillants Microsoft. Il existe de nombreuses façons qu’un attaquant puisse placer un fichier spécialement conçu dans un emplacement analysé par le moteur de protection contre les programmes malveillants Microsoft. Par exemple, un attaquant peut utiliser un site web pour fournir un fichier spécialement conçu au système de la victime qui est analysé lorsque le site web est consulté par l’utilisateur. Un attaquant peut également remettre un fichier spécialement conçu par le biais d’un message électronique ou dans un message Instantané Qui est analysé lors de l’ouverture du fichier. En outre, un attaquant peut tirer parti des sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur, pour charger un fichier spécialement conçu dans un emplacement partagé analysé par le moteur de protection contre les programmes malveillants s’exécutant sur le serveur d’hébergement.
Si le logiciel anti-programme malveillant affecté est activé en temps réel, le moteur de protection contre les programmes malveillants Microsoft analyse automatiquement les fichiers, ce qui entraîne l’exploitation de la vulnérabilité lorsque le fichier spécialement conçu est analysé. Si l’analyse en temps réel n’est pas activée, l’attaquant doit attendre qu’une analyse planifiée se produise afin que la vulnérabilité soit exploitée. Tous les systèmes exécutant une version affectée du logiciel anti-programme malveillant sont principalement à risque.
La mise à jour résout la vulnérabilité en corrigeant la façon dont le moteur de protection contre les programmes malveillants Microsoft analyse les fichiers spécialement conçus.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.
Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque cet avis de sécurité a été émis à l’origine.
Actions suggérées
Vérifier que la mise à jour est installée
Les clients doivent vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées et installées activement pour leurs produits anti-programme malveillant Microsoft.Pour plus d’informations sur la vérification du numéro de version du moteur de protection contre les programmes malveillants Microsoft que votre logiciel utilise actuellement, consultez la section « Vérification de l’installation de la mise à jour », dans l’article de la Base de connaissances Microsoft 2510781.
Pour les logiciels concernés, vérifiez que la version du moteur de protection contre les programmes malveillants Microsoft est 1.1.13704.0 ou version ultérieure.
Si nécessaire, installez la mise à jour
Administration istrateurs des déploiements anti-programme malveillant d’entreprise doivent s’assurer que leur logiciel de gestion des mises à jour est configuré pour approuver et distribuer automatiquement les mises à jour du moteur et les nouvelles définitions de programmes malveillants. Les administrateurs d’entreprise doivent également vérifier que la dernière version du moteur de protection contre les programmes malveillants Microsoft et les mises à jour de définition sont téléchargées, approuvées et déployées activement dans leur environnement.Pour les utilisateurs finaux, le logiciel concerné fournit des mécanismes intégrés pour la détection et le déploiement automatiques de cette mise à jour. Pour ces clients, la mise à jour sera appliquée dans les 48 heures de sa disponibilité. Le délai exact dépend du logiciel utilisé, de la connexion Internet et de la configuration de l’infrastructure. Les utilisateurs finaux qui ne souhaitent pas attendre peuvent mettre à jour manuellement leur logiciel anti-programme malveillant.
Pour plus d’informations sur la façon de mettre à jour manuellement le moteur de protection contre les programmes malveillants Microsoft et les définitions de programmes malveillants, consultez l’article de la Base de connaissances Microsoft 2510781.
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Natalie Silvanovich et Tavis Ormandy de Google Project Zero
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (8 mai 2017) : Avis publié.
- V1.1 (11 mai 2017) : ajout d’un lien vers les mêmes informations dans le Guide de mise à jour de sécurité. Il s’agit d’une modification d’information uniquement.
- V1.2 (12 mai 2017) : ajout d’entrées dans la table logicielle affectée. Il s’agit d’une modification d’information uniquement.
Page générée 2017-06-14 10 :20-07 :00.