近日,国家信息安全漏洞库(CNNVD)收到关于Microsoft恶意软件防护引擎(Microsoft Malware Protection Engine,以下简称MMPE)远程代码执行漏洞(CNNVD-201712-500、CVE-2017-11937)情况的报送。成功利用该漏洞的攻击者可远程任意执行代码,从而控制系统。Windows 7、Windows 8.1、Windows 10、Windows RT 8.1、Windows Server系列版本均受影响。目前,美国微软(Microsoft)公司(以下简称微软公司)已发表官方安全公告,并发布了最新版本MMPE v1.1.14405.2修复该漏洞。
建议受漏洞影响的用户及时确认MMPE产品版本,如未自动应用更新,请及时安装相应软件的最新版本以避免受漏洞影响。
一、漏洞介绍
MMPE是一款微软公司开发的恶意软件防护引擎,Windows Defender、Microsoft Endpoint Protection等多款防护产品使用了MMPE。
MMPE中存在远程代码执行漏洞(CNNVD-201712-500、CVE-2017-11937)。该漏洞源于其防护引擎未正确扫描特定文件,造成内存损坏。远程攻击者成功利用该漏洞后可远程执行任意代码,进而控制整个系统。
二、危害影响
成功利用该漏洞的攻击者可远程控制系统,进一步可任意安装恶意程序,查看、更改或删除数据,创建具有完整用户权限的账户等操作。该漏洞涉及了Windows Defender、Microsoft Security Essentials、Endpoint Protection、Intune Endpoint Protection等一系列基于MMPE的微软杀毒软件,Windows 7、Windows 8.1、Windows 10、Windows RT 8.1、 Windows Server系列全部受影响。详情见下表:
受影响产品名称 操作系统及版本
Microsoft Endpoint Protection
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Forefront Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Security Essentials
Windows Defender Windows 10 version 1709 for 32-bit Systems
Windows Defender Windows RT 8.1
Windows Defender Windows 10 Version 1607 for x64-based Systems
Windows Defender Windows 8.1 for x64-based systems
Windows Defender Windows 10 Version 1703 for x64-based Systems
Windows Defender Windows 10 for x64-based Systems
Windows Defender Windows 7 for x64-based Systems Service Pack 1
Windows Defender Windows 8.1 for 32-bit systems
Windows Defender Windows 10 for 32-bit Systems
Windows Defender Windows 10 Version 1511 for x64-based Systems
Windows Defender Windows 10 version 1709 for x64-based Systems
Windows Defender Windows 10 Version 1511 for 32-bit Systems
Windows Defender Windows 7 for 32-bit Systems Service Pack 1
Windows Defender Windows Server version 1709 (Server Core Installation)
Windows Defender Windows 10 Version 1607 for 32-bit Systems
Windows Defender Windows Server 2016 (Server Core installation)
Windows Defender Windows Server 2016
Windows Defender Windows 10 Version 1703 for 32-bit Systems
Windows Intune Endpoint Protection
三、修复建议
目前,微软官方已发布安全公告,并向用户推送了漏洞修复补丁。请用户及时检查是否受到漏洞影响。如确认受到相关漏洞影响,可根据公告信息及时更新补丁。
验证是否安装更新的链接如下:
https://support.microsoft.com/kb/2510781
本通报由CNNVD技术支撑单位——杭州安恒信息技术有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn