在远程代码执行漏洞的安全公告.PDFVIP

山西省通信管理局 主办：国家计算机网络应急技术处理协调中心山西分中心 2017 年5 月19 日 关于 Microsoft Malware Protection Engine 存 在远程代码执行漏洞的安全公告 近期，国家信息安全漏洞共享平台（CNVD ）收录了 Microsoft Malware Protection Engine 远程代码执行漏洞（CNVD- 2017-06157、对应CVE-2017-0290 ）。远程攻击者可能利用此 漏洞通过向攻击对象发送恶意构造的文件在系统上执行任意指 令，甚至完全控制用户的系统，且相关漏洞细节已在互联网公 开，对互联网部分和企业内网部分会产生重大影响。 一、漏洞情况分析 Microsoft Malware Protection Engine 是微软出品的恶 意代码防护解决方案，被默认安装在Windows 8 及上版本的操 作系统中，对于Windows 8 以前的操作系统中也很可能随着系 统更新被安装。 近日微软发布安全通告，MalwareProtection Engine 在实 现机制上被发现存在一个远程命令执行漏洞，远程攻击者可能 利用此漏洞通过向攻击对象发送恶意构造的文件（由邮件、网 页、即时通信工具等渠道）在系统上以最高权限执行任意指 令。 CNVD 对该漏洞综合评级为“高危”。 二、漏洞影响范围 影响范围包括全部主要版本的Windows 操作系统，以下所 有软件如果使用了Microsoft Malware Protection Engine （mpengine.dll ）版本=1.1.13701.0，则受此漏洞影响： 1. lMicrosoft Forefront Endpoint Protection 2010 2. lMicrosoft Endpoint Protection 3. lMicrosoft Forefront Security for SharePoint Service Pack 3 4. lMicrosoft System Center Endpoint Protection 5. lMicrosoft Security Essentials 6. lWindows Defender for Windows 7 7. lWindows Defender for Windows 8.1 8. lWindows Defender for Windows RT 8.1 9. lWindows Defender for Windows 10, Windows 10 1511, Windows 101607, Windows Server 2016, Windows 10 170 10. lWindows Intune EndpointProtection 三、漏洞修复建议 检查是否安装更新，对于受影响的软件，请验证 Microsoft 恶意软件防护引擎版本是否为1.1.13704.0 或更高 版本。企业反恶意软件部署的管理员应确保其更新管理软件被 配置为自动更新和部署，该更新会在48 小时内生效。有关如何 手动更新Microsoft 恶意软件防护引擎和恶意软件定义的详细 信息，请参阅Microsoft 知识库文章2510781： /zh- cn/help/2510781/microsoft-malware-protection-engine- deployment-information 如果短期内无法更新WindowsDefender 系统，请在系统的 服务管理器中关闭Windows Defender 服务。 附：参考链接： /en- us/library/security/4022344 /flaw/show/CNVD-2017-06157