Microsoft ha publicado una actualización para su motor de escaneo de malware incluido en la mayoría de los Windows, para evitar una vulnerabilidad considerada altamente crítica que podría permitir a un atacante tomar el control de los sistemas afectados.
Esta vulnerabilidad fue anunciada por los ya conocidos investigadores de Google Project Zero Tavis Ormandy y Natalie Silvanovich y es lo suficientemente importante para que Microsoft haya publicado una actualización de forma urgente, incluso rompiendo su ciclo de actualizaciones habituales.
.@natashenka Attack works against a default install, don’t need to be on the same LAN, and it’s wormable. 🔥— Tavis Ormandy (@taviso) 6 de mayo de 2017
El propio Ormandy lo anunciaba en su Twitter como «la peor ejecución de código remoto en Windows en la memoria reciente«.
Según el aviso publicado por Microsoft la vulnerabilidad puede aprovecharse cuando el Microsoft Malware Protection Engine analiza un archivo específicamente creado. Este motor de análisis se emplea en Windows Defender, el analizador de malware preinstalado en Windows 7 y posteriores, así como en otros productos de seguridad de Microsoft como: Microsoft Security Essentials, Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft System Center Endpoint Protection and Windows Intune Endpoint Protection.
El problema, al que se le ha asignado el CVE-2017-0290, es especialmente grave si la protección en tiempo real está activa en los productos de seguridad afectados. Según la alerta publicada por Google Project Zero, basta con la presencia en el sistema de un archivo específicamente manipulado con cualquier extensión para permitir la ejecución de código. Y como el motor de análisis de malware se ejecuta con privilegios LocalSystem un ataque exitoso podría permitir tomar el control total del sistema operativo.
El parche se está instalando en los productos configurados con actualizaciones automáticas. Los usuarios pueden comprobar que la versión de es 1.1.10701.0 o posterior. También se puede encontrar información para la instalación manual desde:
Más información:
MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more.
Microsoft Security Advisory 4022344
Security Update for Microsoft Malware Protection Engine
Antonio Ropero
Twitter: @aropero
Koke Laast dice
Los antivirus empiezan a ser vectores de infección? Es como si te contagiases de un virus con la jeringuilla de la vacuna.