El CERT de Seguridad e Industria (CERTSI) alerta de una importante vulnerabilidad en Microsoft Malware Protection Engine, que Microsoft ha solucionado publicando un parche de seguridad fuera de ciclo.
El motor antimalware de Microsoft tiene una vulnerabilidad (CVE-2018-0986) de corrupción de memoria, que permite la ejecución de código con privilegios SYSTEM cuando un archivo manipulado es escaneado en busca de malware.
Si la víctima tiene activada la protección en tiempo real solo con recibir un fichero infectado (ya sea por correo electrónico, visitando una web comprometida o por cualquier otro medio) el atacante ya podría tomar control del equipo. Si no tiene activada la protección en tiempo real, la infección se produciría cuando se ejecutara un escaneo programado.
Además, un atacante podría aprovecharse de webs que aceptan o almacenan contenido enviado por los usuarios, para subir un fichero manipulado a una localización compartida que es escaneada por Microsoft Malware Protection Engine en el propio servidor.
Un atacante que explote efectivamente esta vulnerabilidad puede ejecutar código con privilegios de LocalSystem y por lo tanto tomar control del sistema. El atacante podría instalar programas, modificar datos o crear cuentas con todos los privilegios.
Los sistemas afectados son Microsoft Exchange Server 2013 y 2016, Microsoft Forefront Endpoint Protection 2010, Microsoft Security Essentials, Windows Defender y Windows Intune Endpoint Protection.
En principio no es necesario realizar ninguna acción ya que Microsoft Malware Protection Engine se actualiza solo. Sin embargo es recomendable comprobar que se está utilizando la versión 1.1.14700.5 o posterior. En caso de necesitar instalar la actualización manualmente puede consultar este enlace para obtener más información.
Esta no es la única alerta sobre productos de Microsoft ya que la Oficina de Seguridad del Internauta también avisaba ayer que se ha corregido una vulnerabilidad de seguridad de Microsoft en algunas versiones de Windows.
Esta vulnerabilidad afectaba a Windows 7 para sistemas basados en x64 Service Pack 1, Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación de Server Core) y Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1, que además, hubieran instalado la actualización de seguridad del 1 de abril que supuestamente corregía las vulnerabilidades de Meltdown y Spectre.
Esa actualización introducía una vulnerabilidad todavía más grave que algunos usuarios llamaron Total Meltdown y que permitía a atacante autenticado ejecutar código arbitrario en modo kernel, pudiendo instalar programas, modificar datos o crear cuentas adicionales de administrador.
Se recomienda a los usuarios verificar si tienen instalada la actualización KB4100480, en cuyo caso se encontrarán protegidos contra las vulnerabilidades. Para ello, debemos ir a Panel de control\ Sistema y seguridad\ Windows Update y pulsar en Ver historial de actualizaciones.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario