Microsoft Security Advisory 4022344
Beveiligingsupdate voor Microsoft Malware Protection Engine
Gepubliceerd: 8 mei 2017 | Bijgewerkt: 12 mei 2017
Versie: 1.2
Samenvatting
Microsoft brengt dit beveiligingsadvies uit om klanten te informeren dat een update van de Microsoft Malware Protection Engine een beveiligingsprobleem aanpakt dat aan Microsoft is gerapporteerd.
Met de update wordt een beveiligingsprobleem opgelost waardoor externe code kan worden uitgevoerd als de Microsoft Malware Protection Engine een speciaal gemaakt bestand scant. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan willekeurige code uitvoeren in de beveiligingscontext van het LocalSystem-account en de controle over het systeem overnemen.
De Microsoft Malware Protection Engine wordt geleverd met verschillende Microsoft-antimalwareproducten. Zie de sectie Beïnvloede software voor een lijst met betrokken producten. Updates voor de Microsoft Malware Protection Engine worden samen met de bijgewerkte malwaredefinities voor de betrokken producten geïnstalleerd. Beheer istrators van bedrijfsinstallaties moeten de vastgestelde interne processen volgen om ervoor te zorgen dat de definitie- en engine-updates worden goedgekeurd in hun updatebeheersoftware en dat clients de updates dienovereenkomstig gebruiken.
Normaal gesproken is er geen actie vereist van ondernemingsbeheerders of eindgebruikers om updates voor de Microsoft Malware Protection Engine te installeren, omdat het ingebouwde mechanisme voor automatische detectie en implementatie van updates de update binnen 48 uur na de release toepast. Het exacte tijdsbestek is afhankelijk van de gebruikte software, internetverbinding en infrastructuurconfiguratie.
De informatie in dit advies is ook beschikbaar in de Security Update Guide waarnaar wordt verwezen door CVE-2017-0290.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Naslaginformatie | Kenmerk |
|---|---|
| Laatste versie van de Microsoft Malware Protection Engine die wordt beïnvloed door dit beveiligingsprobleem | Versie 1.1.13701.0 |
| Eerste versie van de Microsoft Malware Protection Engine met dit beveiligingsprobleem opgelost | Versie 1.1.13704.0 |
* Als uw versie van de Microsoft Malware Protection Engine gelijk is aan of groter is dan deze versie, wordt u niet beïnvloed door dit beveiligingsprobleem en hoeft u geen verdere actie te ondernemen. Zie de sectie 'Installatie van update controleren' in het Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het controleren van het versienummer van de engine dat uw software momenteel gebruikt.
Betrokken software
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
| Antimalwaresoftware | Beveiligingsprobleem met externe code-uitvoering van Microsoft Malware Protection Engine - CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Kritiek \ Uitvoering van externe code |
| Microsoft Endpoint Protection | Kritiek \ Uitvoering van externe code |
| Microsoft System Center Endpoint Protection | Kritiek \ Uitvoering van externe code |
| Microsoft Security Essentials | Kritiek \ Uitvoering van externe code |
| Windows Defender voor Windows 7 | Kritiek \ Uitvoering van externe code |
| Windows Defender voor Windows 8.1 | Kritiek \ Uitvoering van externe code |
| Windows Defender voor Windows RT 8.1 | Kritiek \ Uitvoering van externe code |
| Windows Defender voor Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Kritiek \ Uitvoering van externe code |
| Windows Intune Endpoint Protection | Kritiek \ Uitvoering van externe code |
| Microsoft Exchange Server 2013 | Kritiek \ Uitvoering van externe code |
| Microsoft Exchange Server 2016 | Kritiek \ Uitvoering van externe code |
| Microsoft Windows Server 2008 R2 | Kritiek \ Uitvoering van externe code |
Exploitability Index
De volgende tabel bevat een evaluatie van exploitabiliteit van elk van de beveiligingsproblemen die deze maand zijn aangepakt. De beveiligingsproblemen worden vermeld in volgorde van bulletin-id en vervolgens CVE-id. Alleen beveiligingsproblemen met een ernstclassificatie van Kritiek of Belangrijk in de bulletins zijn opgenomen.
Hoe kan ik deze tabel gebruiken?
Gebruik deze tabel voor meer informatie over de kans op het uitvoeren van code en denial of service-aanvallen binnen 30 dagen na de release van het beveiligingsbulletin, voor elk van de beveiligingsupdates die u mogelijk moet installeren. Bekijk elk van de onderstaande evaluaties, in overeenstemming met uw specifieke configuratie, om prioriteit te geven aan uw implementatie van de updates van deze maand. Zie Microsoft Exploitability Index voor meer informatie over wat deze classificaties betekenen en hoe deze worden bepaald.
In de onderstaande kolommen verwijst 'Meest recente softwarerelease' naar de onderwerpsoftware en 'Oudere softwarereleases' verwijst naar alle oudere, ondersteunde releases van de onderwerpsoftware, zoals vermeld in de tabellen 'Betrokken software' en 'Niet-beïnvloede software' in het bulletin.
| CVE-id | Titel van beveiligingsprobleem | Evaluatie van exploitabiliteit voor\ Nieuwste softwarerelease | Evaluatie van exploitabiliteit voor\ oudere softwarerelease | Denial of Service\ Exploitability Assessment |
|---|---|---|---|---|
| CVE-2017-0290 | Beveiligingsprobleem met geheugenbeschadiging van scriptengine | 2 - Exploitatie minder waarschijnlijk | 2 - Exploitatie minder waarschijnlijk | Niet van toepassing |
Veelgestelde vragen over advies
Brengt Microsoft een beveiligingsbulletin uit om dit beveiligingsprobleem op te lossen?
Nee Microsoft brengt dit informatieve beveiligingsadvies uit om klanten te informeren dat een update van de Microsoft Malware Protection Engine een beveiligingsprobleem aanpakt dat is gerapporteerd aan Microsoft.
Normaal gesproken is er geen actie vereist voor ondernemingsbeheerders of eindgebruikers om deze update te installeren.
Waarom is er geen actie vereist om deze update te installeren?
In reactie op een voortdurend veranderend bedreigingslandschap werkt Microsoft regelmatig malwaredefinities en de Microsoft Malware Protection Engine bij. Om effectief te zijn bij het beschermen tegen nieuwe en gangbare bedreigingen, moet antimalwaresoftware tijdig up-to-date worden gehouden met deze updates.
Voor bedrijfsimplementaties en eindgebruikers zorgt de standaardconfiguratie in Microsoft-antimalwaresoftware ervoor dat malwaredefinities en de Microsoft Malware Protection Engine automatisch up-to-date blijven. Productdocumentatie raadt ook aan dat producten zijn geconfigureerd voor automatisch bijwerken.
Aanbevolen procedures raden klanten aan regelmatig te controleren of softwaredistributie, zoals de automatische implementatie van updates en malwaredefinities van Microsoft Malware Protection Engine, werkt zoals verwacht in hun omgeving.
Hoe vaak worden de Microsoft Malware Protection Engine en malwaredefinities bijgewerkt?
Microsoft publiceert doorgaans één keer per maand een update voor de Microsoft Malware Protection Engine of indien nodig om te beschermen tegen nieuwe bedreigingen. Microsoft werkt de malwaredefinities meestal drie keer per dag bij en kan de frequentie verhogen wanneer dat nodig is.
Afhankelijk van welke Microsoft-antimalwaresoftware wordt gebruikt en hoe deze is geconfigureerd, kan de software elke dag zoeken naar engine- en definitie-updates wanneer er verbinding is met internet, maximaal meerdere keren per dag. Klanten kunnen er ook voor kiezen om op elk gewenst moment handmatig op updates te controleren.
Hoe kan ik de update installeren?
Raadpleeg de sectie Voorgestelde acties voor meer informatie over het installeren van deze update.
Wat is de Microsoft Malware Protection Engine?
De Microsoft Malware Protection Engine, mpengine.dll, biedt de scan-, detectie- en reinigingsmogelijkheden voor Microsoft-antivirus- en antispywaresoftware.
Bevat deze update aanvullende beveiligingsgerelateerde wijzigingen in functionaliteit?
Ja. Naast de wijzigingen die voor dit beveiligingsprobleem worden vermeld, bevat deze update diepgaande updates om beveiligingsgerelateerde functies te verbeteren.
Waar vind ik meer informatie over Microsoft-antimalwaretechnologie?
Ga naar de Microsoft Centrum voor beveiliging tegen schadelijke software website voor meer informatie.
Beveiligingsprobleem met externe code-uitvoering van Microsoft Malware Protection Engine - CVE-2017-0290
Er bestaat een beveiligingsprobleem met de uitvoering van externe code wanneer de Microsoft Malware Protection Engine een speciaal gemaakt bestand dat leidt tot beschadiging van het geheugen niet goed scant.
Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan willekeurige code uitvoeren in de beveiligingscontext van het LocalSystem-account en de controle over het systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Als u dit beveiligingsprobleem wilt misbruiken, moet een speciaal gemaakt bestand worden gescand door een getroffen versie van de Microsoft Malware Protection Engine. Er zijn veel manieren waarop een aanvaller een speciaal gemaakt bestand kan plaatsen op een locatie die wordt gescand door de Microsoft Malware Protection Engine. Een aanvaller kan bijvoorbeeld een website gebruiken om een speciaal gemaakt bestand te leveren aan het systeem van het slachtoffer dat wordt gescand wanneer de website door de gebruiker wordt bekeken. Een aanvaller kan ook een speciaal gemaakt bestand bezorgen via een e-mailbericht of in een Chatbericht dat wordt gescand wanneer het bestand wordt geopend. Bovendien kan een aanvaller profiteren van websites die door de gebruiker geleverde inhoud accepteren of hosten, om een speciaal gemaakt bestand te uploaden naar een gedeelde locatie die wordt gescand door de Malware Protection Engine die wordt uitgevoerd op de hostingserver.
Als de betreffende antimalwaresoftware realtimebeveiliging heeft ingeschakeld, scant de Microsoft Malware Protection Engine automatisch bestanden, wat leidt tot misbruik van het beveiligingsprobleem wanneer het speciaal gemaakte bestand wordt gescand. Als realtime scannen niet is ingeschakeld, moet de aanvaller wachten totdat een geplande scan plaatsvindt om misbruik te kunnen maken van het beveiligingsprobleem. Alle systemen waarop een betrokken versie van antimalwaresoftware wordt uitgevoerd, lopen voornamelijk gevaar.
Met de update wordt het beveiligingsprobleem opgelost door de manier te corrigeren waarop de Microsoft Malware Protection Engine speciaal gemaakte bestanden scant.
Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen.
Microsoft had geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen toen dit beveiligingsadvies oorspronkelijk werd uitgegeven.
Voorgestelde acties
Controleer of de update is geïnstalleerd
Klanten moeten controleren of de nieuwste versie van de Microsoft Malware Protection Engine en definitie-updates actief worden gedownload en geïnstalleerd voor hun Microsoft-antimalwareproducten.Zie de sectie 'Installatie van update controleren' in het Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het controleren van het versienummer voor de Microsoft Malware Protection Engine die momenteel door uw software wordt gebruikt.
Controleer of de Microsoft Malware Protection Engine versie 1.1.13704.0 of hoger is voor de betreffende software.
Installeer indien nodig de update
Beheer istrators van enterprise antimalware-implementaties moeten ervoor zorgen dat hun updatebeheersoftware is geconfigureerd voor het automatisch goedkeuren en distribueren van engine-updates en nieuwe malwaredefinities. Ondernemingsbeheerders moeten ook controleren of de nieuwste versie van de Microsoft Malware Protection Engine en definitie-updates actief worden gedownload, goedgekeurd en geïmplementeerd in hun omgeving.Voor eindgebruikers biedt de betreffende software ingebouwde mechanismen voor de automatische detectie en implementatie van deze update. Voor deze klanten wordt de update binnen 48 uur na de beschikbaarheid toegepast. Het exacte tijdsbestek is afhankelijk van de gebruikte software, internetverbinding en infrastructuurconfiguratie. Eindgebruikers die niet willen wachten, kunnen hun antimalwaresoftware handmatig bijwerken.
Raadpleeg het Microsoft Knowledge Base-artikel 2510781 voor meer informatie over het handmatig bijwerken van de Microsoft Malware Protection Engine en malwaredefinities.
Erkenningen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Natalie Silvanovich en Tavis Ormandy van Google Project Zero
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites van programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Zie Internationale ondersteuning voor meer informatie.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (8 mei 2017): Advies gepubliceerd.
- V1.1 (11 mei 2017): Koppeling toegevoegd aan dezelfde informatie in de handleiding voor beveiligingsupdates. Dit is alleen een informatieve wijziging.
- V1.2 (12 mei 2017): Vermeldingen toegevoegd aan de betreffende softwaretabel. Dit is alleen een informatieve wijziging.
Pagina gegenereerd 2017-06-14 10:20-07:00.