【漏洞预警】CNNVD关于Microsoft恶意软件防护引擎远程代码执行漏洞情况的通报
发布日期: 2017-05-10

近日,国家信息安全漏洞库收到关于Microsoft恶意软件防护引擎远程代码执行漏洞(CNNVD-201705-447)的报送。该漏洞由Google的安全团队Project Zero发现,攻击者可利用该漏洞远程执行任意代码,并完全控制系统。目前,该漏洞POC已在互联网公布,可能造成较大影响和危害。微软官方已针对该漏洞发布安全公告(公告编号:4022344),为此,国家信息安全漏洞库(CNNVD)对此进行了综合分析,并提供修复措施。具体情况如下:
        一、漏洞简介
        Microsoft Malware Protection Engine是一款美国微软(Microsoft)公司开发的恶意软件防护引擎,Windows Defender、Microsoft Endpoint Protection等多款防护产品使用了该引擎。
        Microsoft Malware Protection Engine 1.1.13701.0至1.1.13704.0版本(不含此版本)中存在远程代码执行漏洞(CNNVD-201705-447,CVE-2017-0290)。该漏洞是源于该引擎中用于检测JavaScript的NScript组件存在类型混淆,即缺乏对JavaScript对象中“message”属性的类型检测,攻击者可在构造的恶意脚本中指定任意类型的message属性,在Microsoft Malware Protection Engine扫描过程中,使得该程序跳转到可被攻击者控制的地址,进一步执行任意代码或造成拒绝服务(类型混淆和应用程序崩溃)。
        二、漏洞危害
        由于Microsoft Malware Protection Engine以NT AUTHORITY\SYSTEM权限运行,且未启用沙箱机制,攻击者可通过触发Microsoft Malware Protection Engine扫描利用该漏洞执行任意代码,并完全控制系统。其中,远程触发 Microsoft Malware Protection Engine 扫描的方法较多,如发送包含恶意附件的邮件、浏览器下载文件或即时通讯消息等。
        该漏洞影响范围广泛,受影响的Microsoft Malware Protection Engine引擎版本包含在如下产品和操作系统中:
        Microsoft Forefront Endpoint Protection 2010
        Microsoft Endpoint Protection
        Microsoft Forefront Security for SharePoint Service Pack 3
        Microsoft System Center Endpoint Protection
        Microsoft Security Essentials
        Windows Defender for Windows 7
        Windows Defender for Windows 8.1
        Windows Defender for Windows RT 8.1
        Windows Defender for Windows 10, Windows 10 1511, Windows10 1607, Windows Server 2016, Windows 10 1703
        Windows Intune Endpoint Protection
        三、修复措施
        目前,微软官方已发布安全公告,并向用户推送了漏洞修复补丁。请用户及时检查是否受到漏洞影响。如确认受到相关漏洞影响,可按照如下方式及时更新补丁:
        在开始菜单中输入Windows Defender,打开“Windows Defender 安全中心”(或“Windows Defender”),更新病毒库定义和扫描引擎。
        更新成功后可在“关于”中看到“引擎版本”为 1.1.13704.0(或更高)即为成功安装补丁。

本通报由CNNVD技术支撑单位——北京长亭科技有限公司提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn