Microsoft ha publicado una actualización para su motor de escaneo de malware incluido en la mayoría de los Windows, para evitar una vulnerabilidad considerada altamente crítica que podría permitir a un atacante tomar el control de los sistemas afectados.
Esta vulnerabilidad fue anunciada por los ya conocidos investigadores de Google Project Zero Tavis Ormandy y Natalie Silvanovich y es lo suficientemente importante para que Microsoft haya publicado una actualización de forma urgente, incluso rompiendo su ciclo de actualizaciones habituales.
.@natashenka Attack works against a default install, don’t need to be on the same LAN, and it’s wormable. 🔥— Tavis Ormandy (@taviso) 6 de mayo de 2017
El propio Ormandy lo anunciaba en su Twitter como «la peor ejecución de código remoto en Windows en la memoria reciente«.

El problema, al que se le ha asignado el CVE-2017-0290, es especialmente grave si la protección en tiempo real está activa en los productos de seguridad afectados. Según la alerta publicada por Google Project Zero, basta con la presencia en el sistema de un archivo específicamente manipulado con cualquier extensión para permitir la ejecución de código. Y como el motor de análisis de malware se ejecuta con privilegios LocalSystem un ataque exitoso podría permitir tomar el control total del sistema operativo.
El parche se está instalando en los productos configurados con actualizaciones automáticas. Los usuarios pueden comprobar que la versión de es 1.1.10701.0 o posterior. También se puede encontrar información para la instalación manual desde:
Más información:
MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more.
Microsoft Security Advisory 4022344
Security Update for Microsoft Malware Protection Engine
Antonio Ropero
Twitter: @aropero
Los antivirus empiezan a ser vectores de infección? Es como si te contagiases de un virus con la jeringuilla de la vacuna.