4022344 Microsoft Security Advisory
Pembaruan Keamanan untuk Mesin Perlindungan Malware Microsoft
Diterbitkan: 8 Mei 2017 | Diperbarui: 12 Mei 2017
Versi: 1.2
Ringkasan Eksekutif
Microsoft merilis saran keamanan ini untuk memberi tahu pelanggan bahwa pembaruan ke Microsoft Malware Protection Engine mengatasi kerentanan keamanan yang dilaporkan ke Microsoft.
Pembaruan membahas kerentanan yang dapat memungkinkan eksekusi kode jarak jauh jika Mesin Perlindungan Malware Microsoft memindai file yang dibuat secara khusus. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode sewenang-wenang dalam konteks keamanan akun LocalSystem dan mengendalikan sistem.
Microsoft Malware Protection Engine dikirim dengan beberapa produk antimalware Microsoft. Lihat bagian Perangkat Lunak yang Terpengaruh untuk daftar produk yang terpengaruh. Pembaruan pada Microsoft Malware Protection Engine diinstal bersama dengan definisi malware yang diperbarui untuk produk yang terpengaruh. Administrator penginstalan perusahaan harus mengikuti proses internal yang dibuat untuk memastikan bahwa definisi dan pembaruan mesin disetujui dalam perangkat lunak manajemen pembaruan mereka, dan bahwa klien menggunakan pembaruan yang sesuai.
Biasanya, tidak ada tindakan yang diperlukan administrator perusahaan atau pengguna akhir untuk menginstal pembaruan untuk Microsoft Malware Protection Engine, karena mekanisme bawaan untuk deteksi otomatis dan penyebaran pembaruan akan menerapkan pembaruan dalam waktu 48 jam setelah rilis. Kerangka waktu yang tepat tergantung pada perangkat lunak yang digunakan, koneksi Internet, dan konfigurasi infrastruktur.
Informasi dalam nasihat ini juga tersedia dalam Panduan Pembaruan Keamanan yang dirujuk oleh CVE-2017-0290.
Detail Saran
Referensi Masalah
Untuk informasi selengkapnya tentang masalah ini, lihat referensi berikut ini:
| Referensi | Identifikasi |
|---|---|
| Versi terakhir Microsoft Malware Protection Engine yang terpengaruh oleh kerentanan ini | Versi 1.1.13701.0 |
| Versi pertama Microsoft Malware Protection Engine dengan kerentanan ini ditangani | Versi 1.1.13704.0 |
* Jika versi Microsoft Malware Protection Engine Anda sama dengan atau lebih besar dari versi ini, maka Anda tidak terpengaruh oleh kerentanan ini dan tidak perlu mengambil tindakan lebih lanjut. Untuk informasi selengkapnya tentang cara memverifikasi nomor versi mesin yang saat ini digunakan perangkat lunak Anda, lihat bagian , "Memverifikasi Penginstalan Pembaruan", di Artikel Pangkalan Pengetahuan Microsoft 2510781.
Perangkat Lunak yang Terpengaruh
Versi atau edisi perangkat lunak berikut terpengaruh. Versi atau edisi yang tidak tercantum melewati siklus hidup dukungan mereka atau tidak terpengaruh. Untuk menentukan siklus hidup dukungan untuk versi atau edisi perangkat lunak Anda, lihat Siklus Hidup Dukungan Microsoft.
| Perangkat Lunak Antimalware | Kerentanan Eksekusi Kode Jarak Jauh Mesin Perlindungan Malware Microsoft- CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Kritis \ Eksekusi Kode Jarak Jauh |
| Perlindungan Titik Akhir Microsoft | Kritis \ Eksekusi Kode Jarak Jauh |
| Perlindungan Titik Akhir Pusat Sistem Microsoft | Kritis \ Eksekusi Kode Jarak Jauh |
| Microsoft Security Essentials | Kritis \ Eksekusi Kode Jarak Jauh |
| Windows Defender untuk Windows 7 | Kritis \ Eksekusi Kode Jarak Jauh |
| Windows Defender untuk Windows 8.1 | Kritis \ Eksekusi Kode Jarak Jauh |
| Windows Defender untuk Windows RT 8.1 | Kritis \ Eksekusi Kode Jarak Jauh |
| Windows Defender untuk Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Kritis \ Eksekusi Kode Jarak Jauh |
| Perlindungan Titik Akhir Windows Intune | Kritis \ Eksekusi Kode Jarak Jauh |
| Microsoft Server Exchange 2013 | Kritis \ Eksekusi Kode Jarak Jauh |
| Microsoft Server Exchange 2016 | Kritis \ Eksekusi Kode Jarak Jauh |
| Microsoft Windows Server 2008 R2 | Kritis \ Eksekusi Kode Jarak Jauh |
Indeks Eksploitasibilitas
Tabel berikut memberikan penilaian eksploitasi dari masing-masing kerentanan yang ditangani bulan ini. Kerentanan tercantum dalam urutan ID buletin lalu ID CVE. Hanya kerentanan yang memiliki peringkat tingkat keparahan Kritis atau Penting dalam buletin yang disertakan.
Bagaimana cara menggunakan tabel ini?
Gunakan tabel ini untuk mempelajari tentang kemungkinan eksekusi kode dan penolakan eksploitasi layanan dalam waktu 30 hari setelah rilis buletin keamanan, untuk setiap pembaruan keamanan yang mungkin perlu Anda instal. Tinjau setiap penilaian di bawah ini, sesuai dengan konfigurasi spesifik Anda, untuk memprioritaskan penyebaran Pembaruan bulan ini. Untuk informasi selengkapnya tentang arti peringkat ini, dan bagaimana peringkat ditentukan, silakan lihat Indeks Eksploitasi Microsoft.
Dalam kolom di bawah ini, "Rilis Perangkat Lunak Terbaru" mengacu pada perangkat lunak subjek, dan "Rilis Perangkat Lunak Lama" mengacu pada semua rilis perangkat lunak subjek yang lebih lama dan didukung, seperti yang tercantum dalam tabel "Perangkat Lunak Yang Terpengaruh" dan "Perangkat Lunak Yang Tidak Terpengaruh" dalam buletin.
| CVE ID | Judul Kerentanan | Penilaian Eksploitasi untuk\ Rilis Perangkat Lunak Terbaru | Penilaian Eksploitasi untuk\ Rilis Perangkat Lunak yang Lebih Lama | Penolakan Penilaian Eksploitasi Layanan\ |
|---|---|---|---|---|
| CVE-2017-0290 | Kerentanan Kerusakan Memori Mesin Skrip | 2 - Kemungkinan Eksploitasi Lebih Kecil | 2 - Kemungkinan Eksploitasi Lebih Kecil | Tidak berlaku |
Tanya Jawab Umum Penasihat
Apakah Microsoft merilis Buletin Keamanan untuk mengatasi kerentanan ini?
Tidak. Microsoft merilis saran keamanan informasi ini untuk memberi tahu pelanggan bahwa pembaruan ke Microsoft Malware Protection Engine mengatasi kerentanan keamanan yang dilaporkan ke Microsoft.
Biasanya, tidak ada tindakan yang diperlukan administrator perusahaan atau pengguna akhir untuk menginstal pembaruan ini.
Mengapa tidak ada tindakan yang diperlukan untuk menginstal pembaruan ini?
Sebagai respons terhadap lanskap ancaman yang terus berubah, Microsoft sering memperbarui definisi malware dan Microsoft Malware Protection Engine. Agar efektif dalam membantu melindungi dari ancaman baru dan lazim, perangkat lunak antimalware harus selalu diperbarui dengan pembaruan ini secara tepat waktu.
Untuk penyebaran perusahaan serta pengguna akhir, konfigurasi default dalam perangkat lunak antimalware Microsoft membantu memastikan bahwa definisi malware dan Microsoft Malware Protection Engine selalu diperbarui secara otomatis. Dokumentasi produk juga merekomendasikan agar produk dikonfigurasi untuk pembaruan otomatis.
Praktik terbaik menyarankan agar pelanggan secara teratur memverifikasi apakah distribusi perangkat lunak, seperti penyebaran otomatis pembaruan Microsoft Malware Protection Engine dan definisi malware, berfungsi seperti yang diharapkan di lingkungan mereka.
Seberapa sering Microsoft Malware Protection Engine dan definisi malware diperbarui?
Microsoft biasanya merilis pembaruan untuk Microsoft Malware Protection Engine sebulan sekali atau sesuai kebutuhan untuk melindungi dari ancaman baru. Microsoft juga biasanya memperbarui definisi malware tiga kali setiap hari dan dapat meningkatkan frekuensi saat diperlukan.
Bergantung pada perangkat lunak antimalware Microsoft mana yang digunakan dan bagaimana perangkat lunak dikonfigurasi, perangkat lunak dapat mencari pembaruan mesin dan definisi setiap hari ketika terhubung ke Internet, hingga beberapa kali setiap hari. Pelanggan juga dapat memilih untuk memeriksa pembaruan secara manual kapan saja.
Bagaimana cara menginstal pembaruan?
Lihat bagian, Tindakan yang Disarankan, untuk detail tentang cara menginstal pembaruan ini.
Apa itu Microsoft Malware Protection Engine?
Microsoft Malware Protection Engine, mpengine.dll, menyediakan kemampuan pemindaian, deteksi, dan pembersihan untuk perangkat lunak antivirus dan antispyware Microsoft.
Apakah pembaruan ini berisi perubahan terkait keamanan tambahan pada fungsionalitas?
Ya. Selain perubahan yang tercantum untuk kerentanan ini, pembaruan ini mencakup pembaruan pertahanan mendalam untuk membantu meningkatkan fitur terkait keamanan.
Di mana saya dapat menemukan informasi selengkapnya tentang teknologi antimalware Microsoft?
Untuk informasi selengkapnya, kunjungi situs web Pusat Perlindungan Malware Microsoft.
Kerentanan Eksekusi Kode Jarak Jauh Mesin Perlindungan Malware Microsoft - CVE-2017-0290
Kerentanan eksekusi kode jarak jauh ada ketika Microsoft Malware Protection Engine tidak memindai file yang dibuat secara khusus yang mengarah ke kerusakan memori.
Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode sewenang-wenang dalam konteks keamanan akun LocalSystem dan mengendalikan sistem. Penyerang kemudian dapat menginstal program; menampilkan, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh.
Untuk mengeksploitasi kerentanan ini, file yang dibuat khusus harus dipindai oleh versi Microsoft Malware Protection Engine yang terpengaruh. Ada banyak cara agar penyerang dapat menempatkan file yang dibuat secara khusus di lokasi yang dipindai oleh Microsoft Malware Protection Engine. Misalnya, penyerang dapat menggunakan situs web untuk mengirimkan file yang dibuat secara khusus ke sistem korban yang dipindai ketika situs web dilihat oleh pengguna. Penyerang juga dapat mengirimkan file yang dibuat secara khusus melalui pesan email atau dalam pesan Instant Messenger yang dipindai saat file dibuka. Selain itu, penyerang dapat memanfaatkan situs web yang menerima atau menghosting konten yang disediakan pengguna, untuk mengunggah file yang dibuat khusus ke lokasi bersama yang dipindai oleh Mesin Perlindungan Malware yang berjalan di server hosting.
Jika perangkat lunak antimalware yang terpengaruh mengaktifkan perlindungan real time, Microsoft Malware Protection Engine akan memindai file secara otomatis, yang mengarah ke eksploitasi kerentanan ketika file yang dibuat khusus dipindai. Jika pemindaian real time tidak diaktifkan, penyerang harus menunggu sampai pemindaian terjadwal terjadi agar kerentanan dieksploitasi. Semua sistem yang menjalankan versi perangkat lunak antimalware yang terpengaruh terutama berisiko.
Pembaruan membahas kerentanan dengan mengoreksi cara Mesin Perlindungan Malware Microsoft memindai file yang dibuat secara khusus.
Microsoft menerima informasi tentang kerentanan ini melalui pengungkapan kerentanan terkoordinasi.
Microsoft belum menerima informasi apa pun untuk menunjukkan bahwa kerentanan ini telah digunakan secara publik untuk menyerang pelanggan ketika saran keamanan ini awalnya dikeluarkan.
Tindakan yang Disarankan
Verifikasi bahwa pembaruan telah diinstal
Pelanggan harus memverifikasi bahwa versi terbaru Microsoft Malware Protection Engine dan pembaruan definisi sedang diunduh dan diinstal secara aktif untuk produk antimalware Microsoft mereka.Untuk informasi selengkapnya tentang cara memverifikasi nomor versi untuk Microsoft Malware Protection Engine yang saat ini digunakan perangkat lunak Anda, lihat bagian , "Memverifikasi Penginstalan Pembaruan", di Artikel Pangkalan Pengetahuan Microsoft 2510781.
Untuk perangkat lunak yang terpengaruh, verifikasi bahwa versi Microsoft Malware Protection Engine adalah 1.1.13704.0 atau yang lebih baru.
Jika perlu, instal pembaruan
Administrator penyebaran antimalware perusahaan harus memastikan bahwa perangkat lunak manajemen pembaruan mereka dikonfigurasi untuk secara otomatis menyetujui dan mendistribusikan pembaruan mesin dan definisi malware baru. Administrator perusahaan juga harus memverifikasi bahwa versi terbaru Microsoft Malware Protection Engine dan pembaruan definisi sedang diunduh, disetujui, dan disebarkan secara aktif di lingkungan mereka.Untuk pengguna akhir, perangkat lunak yang terpengaruh menyediakan mekanisme bawaan untuk deteksi dan penyebaran otomatis pembaruan ini. Untuk pelanggan ini, pembaruan akan diterapkan dalam waktu 48 jam setelah ketersediaannya. Kerangka waktu yang tepat tergantung pada perangkat lunak yang digunakan, koneksi Internet, dan konfigurasi infrastruktur. Pengguna akhir yang tidak ingin menunggu dapat memperbarui perangkat lunak antimalware mereka secara manual.
Untuk informasi selengkapnya tentang cara memperbarui Microsoft Malware Protection Engine dan definisi malware secara manual, lihat Artikel Pangkalan Pengetahuan Microsoft 2510781.
Ucapan terima kasih
Microsoft berterima kasih kepada yang berikut ini karena telah bekerja sama dengan kami untuk membantu melindungi pelanggan:
- Natalie Silvanovich dan Tavis Ormandy dari Google Project Zero
Informasi Lainnya
Program Perlindungan Aktif Microsoft (MAPP)
Untuk meningkatkan perlindungan keamanan bagi pelanggan, Microsoft menyediakan informasi kerentanan kepada penyedia perangkat lunak keamanan utama sebelum setiap rilis pembaruan keamanan bulanan. Penyedia perangkat lunak keamanan kemudian dapat menggunakan informasi kerentanan ini untuk memberikan perlindungan terbaru kepada pelanggan melalui perangkat lunak atau perangkat keamanan mereka, seperti antivirus, sistem deteksi intrusi berbasis jaringan, atau sistem pencegahan intrusi berbasis host. Untuk menentukan apakah perlindungan aktif tersedia dari penyedia perangkat lunak keamanan, kunjungi situs web perlindungan aktif yang disediakan oleh mitra program, yang tercantum dalam Mitra Program Perlindungan Aktif Microsoft (MAPP).
Saran dan Komentar
- Anda dapat memberikan umpan balik dengan melengkapi formulir Bantuan dan Dukungan Microsoft, Customer Service Hubungi Kami.
Dukungan
- Pelanggan di Amerika Serikat dan Kanada dapat menerima dukungan teknis dari Dukungan Keamanan. Untuk informasi selengkapnya, lihat Bantuan dan Dukungan Microsoft.
- Pelanggan internasional dapat menerima dukungan dari anak perusahaan Microsoft lokal mereka. Untuk informasi selengkapnya, lihat Dukungan Internasional.
- Microsoft TechNet Security menyediakan informasi tambahan tentang keamanan di produk Microsoft.
Pengelakan
Informasi yang diberikan dalam saran ini disediakan "apa adanya" tanpa jaminan apa pun. Microsoft menolak semua jaminan, baik tersurat maupun tersirat, termasuk jaminan kelayakan untuk diperdagangkan dan kesesuaian untuk tujuan tertentu. Dalam hal apa pun, Microsoft Corporation atau pemasoknya tidak bertanggung jawab atas kerusakan apa pun termasuk kerusakan langsung, tidak langsung, insidental, konsekuensial, kehilangan keuntungan bisnis atau kerusakan khusus, bahkan jika Microsoft Corporation atau pemasoknya telah diberi tahu tentang kemungkinan kerusakan tersebut. Beberapa negara bagian tidak mengizinkan pengecualian atau batasan tanggung jawab untuk kerusakan konsekuensial atau insidental sehingga batasan sebelumnya mungkin tidak berlaku.
Revisi
- V1.0 (8 Mei 2017): Nasihat diterbitkan.
- V1.1 (11 Mei 2017): Menambahkan tautan ke informasi yang sama di Panduan Pembaruan Keamanan. Ini hanya perubahan informasi.
- V1.2 (12 Mei 2017): Menambahkan entri ke dalam tabel perangkat lunak yang terpengaruh. Ini hanya perubahan informasi.
Halaman yang dihasilkan 2017-06-14 10:20-07:00.