Microsoft publicó recientemente el Security Advisory 4022344, que anuncia una grave vulnerabilidad de seguridad en el motor de protección contra malware.
Motor de protección contra malware de Microsoft
Esta herramienta es utilizada por varios productos de Microsoft como Windows Defender y Microsoft Security Essentials en PCs de consumo. También lo utilizan Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection o Windows Intune Endpoint Protection en el ámbito empresarial.
La vulnerabilidad que afectaba a todos estos productos podía permitir la ejecución remota de código si un programa que ejecutara el motor de protección contra malware de Microsoft analizaba un archivo creado.
Índice del contenido
Corregida la vulnerabilidad de Windows Defender
Tavis Ormandy y Natalie Silvanovich del Proyecto Cero de Google descubrieron el 6 de mayo de 2017 el «peor ejecutor de código remoto de Windows en la memoria reciente». Los investigadores le dijeron a Microsoft acerca de esta vulnerabilidad y la información se mantuvo oculta al público para darle a la compañía 90 días para arreglarla.
Microsoft creó rápidamente un parche y distribuyó nuevas versiones de Windows Defender y más a los usuarios.
Los clientes de Windows que tienen los productos afectados ejecutándose en sus dispositivos deben asegurarse de que están actualizados.
Actualizar el programa en Windows 10
- Pulse la tecla Windows, escriba Windows Defender y pulse Intro para cargar el programa.
- Si ejecuta Windows 10 Creators Update, obtendrá el nuevo Centro de seguridad de Windows Defender.
- Haga clic en el icono de la rueda dentada.
- Seleccione Acerca de en la página siguiente.
- Compruebe la versión del motor para asegurarse de que es al menos 1.1.13704.0.
Las actualizaciones de Windows Defender están disponibles a través de Windows Update. Encontrará más información sobre la actualización manual de los productos antimalware de Microsoft en el centro de protección contra malware del sitio web de Microsoft.
Informe de vulnerabilidad de Google en el sitio web del Proyecto Cero
Aquí está:
Las vulnerabilidades en MsMpEng se encuentran entre las más graves posibles en Windows, debido al privilegio, accesibilidad y ubicuidad del servicio.
El componente principal de MsMpEng responsable del escaneo y análisis se llama mpengine. Mpengine es una vasta y compleja superficie de ataque, compuesta por manejadores para docenas de formatos de archivo esotéricos, empaquetadores y criptadores ejecutables, emuladores de sistemas completos e intérpretes para diversas arquitecturas y lenguajes, etc. Todo este código es accesible a los atacantes remotos.
NScript es el componente de mpengine que evalúa cualquier sistema de archivos o actividad de red que se parezca a JavaScript. Para ser claros, este es un intérprete de JavaScript altamente privilegiado que se utiliza para evaluar código no confiable, por defecto en todos los sistemas modernos de Windows. Esto es tan sorprendente como parece.