Microsoft
ha publicado una actualización para su motor de escaneo de malware incluido en
la mayoría de los Windows, para
evitar una vulnerabilidad considerada altamente crítica que podría permitir a
un atacante tomar el control de los
sistemas afectados.
Esta vulnerabilidad fue anunciada
por los ya conocidos investigadores de Google Project Zero Tavis Ormandy y
Natalie Silvanovich y es lo suficientemente importante para que Microsoft haya
publicado una actualización de forma urgente, incluso rompiendo su ciclo de
actualizaciones habituales.
.@natashenka Attack works against a default install, don't need to be on the same LAN, and it's wormable. 🔥— Tavis Ormandy (@taviso) 6 de mayo de 2017
El propio Ormandy lo anunciaba en su Twitter como "la peor ejecución de código remoto en Windows en la memoria reciente".
Según el aviso publicado
por Microsoft la vulnerabilidad puede aprovecharse cuando el Microsoft Malware
Protection Engine analiza un archivo específicamente creado. Este motor de análisis
se emplea en Windows Defender, el analizador de malware preinstalado en Windows
7 y posteriores, así como en otros productos de seguridad de Microsoft como:
Microsoft Security Essentials, Microsoft Forefront Endpoint Protection 2010,
Microsoft Endpoint Protection, Microsoft Forefront Security for SharePoint
Service Pack 3, Microsoft System Center Endpoint Protection and Windows Intune
Endpoint Protection.
El problema, al que se le ha asignado
el CVE-2017-0290, es especialmente grave si la protección en tiempo real está
activa en los productos de seguridad afectados. Según la alerta publicada por Google Project Zero, basta con la presencia en el sistema de un archivo específicamente
manipulado con cualquier extensión para permitir la ejecución de código. Y como
el motor de análisis de malware se ejecuta con privilegios LocalSystem un
ataque exitoso podría permitir tomar el control total del sistema operativo.
El parche se está instalando en
los productos configurados con actualizaciones automáticas. Los usuarios pueden
comprobar que la versión de es 1.1.10701.0 o posterior. También se puede
encontrar información para la instalación manual desde:
Más información:
MsMpEng: Remotely Exploitable Type Confusion in
Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and
more.
Microsoft Security Advisory 4022344
Security Update for Microsoft Malware
Protection Engine
Antonio Ropero
Twitter: @aropero
Los antivirus empiezan a ser vectores de infección? Es como si te contagiases de un virus con la jeringuilla de la vacuna.
ResponderEliminar