Microsoft publicó ayer el Security Advisory 4022344 que informa a los clientes sobre una vulnerabilidad de seguridad en el motor de protección contra malware.
El motor de protección contra el malware de Microsoft es utilizado por varios productos de Microsoft, incluidos Windows Defender y Microsoft Security Essentials en PC de consumo, y productos como Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection o Windows Intune Endpoint Protection en el ámbito empresarial.
Todos los productos se ven afectados por una vulnerabilidad crítica que permite la ejecución remota de código si un programa que utiliza el motor de protección contra malware de Microsoft analiza un archivo creado. Los atacantes pueden ejecutar código arbitrario en el sistema si la vulnerabilidad se explota con éxito.
La actualización aborda una vulnerabilidad que podría permitir la ejecución remota de código si Microsoft Malware Protection Engine analiza un archivo especialmente diseñado. Un atacante que haya explotado con éxito esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de LocalSystem y tomar el control del sistema.
Índice de contenido
Descubierta y corregida la vulnerabilidad de Windows Defender
Los investigadores del Proyecto Cero de Google Tavis Ormandy y Natalie Silvanovich descubrieron lo que Tavis llamó el “peor ejecutivo de código remoto de Windows en la memoria reciente” el 6 de mayo de 2017. Los investigadores notificaron a Microsoft acerca de la vulnerabilidad y mantuvieron la información oculta al público para darle a Microsoft 90 días para corregir la vulnerabilidad.
Microsoft logró crear un parche para la vulnerabilidad, y ya ha lanzado nuevas versiones de Windows Defender y otros productos de Microsoft a los clientes.
Los clientes de Windows que tengan alguno de los productos mencionados instalado en sus dispositivos deben asegurarse de que está actualizado.
En Windows 10, por ejemplo, lo haría de la siguiente manera:
- Pulse sobre la tecla Windows en el teclado del ordenador, escriba Windows Defender y pulse la tecla Enter para cargar el programa.
- Si ejecuta Windows 10 Creators Update, obtendrá el nuevo Centro de seguridad de Windows Defender.
- Haga clic en el icono de la rueda dentada en la parte inferior izquierda de la interfaz.
- Seleccione Acerca de en la página siguiente.
Compruebe la “Versión del motor” en la página, y asegúrese de que sea al menos 1.1.13704.0.
Las actualizaciones de Windows Defender están disponibles a través de Windows Update, y Microsoft ha publicado información sobre cómo actualizar el motor de protección contra malware de Microsoft en varias versiones de Windows y en los distintos productos afectados por la vulnerabilidad.
El Centro de protección contra el malware del sitio web de Microsoft ofrece información sobre la actualización manual de los productos antimalware de Microsoft.
Más información sobre la vulnerabilidad
Google publicó el informe de vulnerabilidad en el sitio web del Proyecto Cero. Esto hace aún más urgente actualizar el motor que utilizan los programas de seguridad de Microsoft, ya que los atacantes pueden utilizar la información para crear ataques contra sistemas informáticos que aún son vulnerables.
Las vulnerabilidades en MsMpEng se encuentran entre las más graves posibles en Windows, debido al privilegio, accesibilidad y ubicuidad del servicio.
El componente principal de MsMpEng responsable del escaneo y análisis se llama mpengine. Mpengine es una vasta y compleja superficie de ataque, que incluye