安全公告编号:CNTA-2017-0038

近期，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Malware Protection Engine远程代码执行漏洞（CNVD-2017-06157、对应CVE-2017-0290）。远程攻击者可能利用此漏洞通过向攻击对象发送恶意构造的文件在系统上执行任意指令，甚至完全控制用户的系统，且相关漏洞细节已在互联网公开，对互联网部分和企业内网部分会产生重大影响。

一、漏洞情况分析

Microsoft Malware Protection Engine是微软出品的恶意代码防护解决方案，被默认安装在Windows 8及上版本的操作系统中，对于Windows 8以前的操作系统中也很可能随着系统更新被安装。

近日微软发布安全通告，MalwareProtection Engine在实现机制上被发现存在一个远程命令执行漏洞，远程攻击者可能利用此漏洞通过向攻击对象发送恶意构造的文件（由邮件、网页、即时通信工具等渠道）在系统上以最高权限执行任意指令。

CNVD对该漏洞综合评级为“高危”。

二、漏洞影响范围

影响范围包括全部主要版本的Windows操作系统，以下所有软件如果使用了Microsoft Malware Protection Engine（mpengine.dll）版本<=1.1.13701.0，则受此漏洞影响：

1. lMicrosoft Forefront Endpoint Protection 2010

2. lMicrosoft Endpoint Protection

3. lMicrosoft Forefront Security for SharePoint Service Pack 3

4. lMicrosoft System Center Endpoint Protection

5. lMicrosoft Security Essentials

6. lWindows Defender for Windows 7

7. lWindows Defender for Windows 8.1

8. lWindows Defender for Windows RT 8.1

9. lWindows Defender for Windows 10, Windows 10 1511, Windows 101607, Windows Server 2016, Windows 10 170

10. lWindows Intune EndpointProtection

三、漏洞修复建议

检查是否安装更新，对于受影响的软件，请验证Microsoft恶意软件防护引擎版本是否为1.1.13704.0或更高版本。企业反恶意软件部署的管理员应确保其更新管理软件被配置为自动更新和部署，该更新会在48小时内生效。有关如何手动更新Microsoft恶意软件防护引擎和恶意软件定义的详细信息，请参阅Microsoft知识库文章2510781：

https://support.microsoft.com/zh-cn/help/2510781/microsoft-malware-protection-engine-deployment-information

如果短期内无法更新WindowsDefender系统，请在系统的服务管理器中关闭Windows Defender服务。

附：参考链接：

https://technet.microsoft.com/en-us/library/security/4022344

http://www.cnvd.org.cn/flaw/show/CNVD-2017-06157