La vulnerabilidad que permite la ejecución de código con privilegios SYSTEM por parte del atacante, ha sido solucionada mediante un parche de seguridad fuera de ciclo.
Desde el CERT de Seguridad e Industria (CERTSI) alertan de una vulnerabilidad de carácter importante en Microsoft Malware Protection Engine, que Microsoft ha solucionado ya con la publicación de un parche de seguridad fuera de ciclo.
Concretamente, el motor antimalware de Microsoft tiene una vulnerabilidad (CVE-2018-0986) de corrupción de memoria, la cual permite la ejecución de código con privilegios SYSTEM cuando un archivo manipulado es escaneado en busca de malware.
Desde Sophos comentan que, si la víctima tiene activada la protección en tiempo real solo con recibir un fichero infectado (ya sea por correo electrónico, visitando una web comprometida o por cualquier otro medio) el atacante ya podría tomar control del equipo. Si no tiene activada la protección en tiempo real, la infección se produciría cuando se ejecutara un escaneo programado.
Igualmente, un atacante podría aprovecharse de webs que aceptan o almacenan contenido enviado por los usuarios con el objetivo de subir un fichero manipulado a una localización compartida que es escaneada por Microsoft Malware Protection Engine en el propio servidor.
Según Sophos, el atacante que explote efectivamente esta vulnerabilidad puede ejecutar código con privilegios de LocalSystem y por lo tanto tomar control del sistema. El atacante podría instalar programas, modificar datos o crear cuentas con todos los privilegios. Los sistemas afectados son Microsoft Exchange Server 2013 y 2016, Microsoft Forefront Endpoint Protection 2010, Microsoft Security Essentials, Windows Defender y Windows Intune Endpoint Protection.
¿Cómo solucionar esta vulnerabilidad?
En principio no es necesario realizar ninguna acción ya que Microsoft Malware Protection Engine se actualiza solo. Sin embargo, es recomendable comprobar que se está utilizando la versión 1.1.14700.5 o posterior. En caso de necesitar instalar la actualización manualmente puede consultar este enlace para obtener más información.
Esta no ha sido la única alerta sobre productos de Microsoft ya que desde la Oficina de Seguridad del Internauta, también avisaban ayer que se ha corregido una vulnerabilidad de seguridad de Microsoft en algunas versiones de Windows.
Tal y como explican en Sophos, esta vulnerabilidad afectaba a Windows 7 para sistemas basados en x64 Service Pack 1, Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación de Server Core) y Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1, que además, hubieran instalado la actualización de seguridad del 1 de abril que supuestamente corregía las vulnerabilidades de Meltdown y Spectre.
Esa actualización introducía una vulnerabilidad todavía más grave que algunos usuarios llamaron Total Meltdown y que permitía a atacante autenticado ejecutar código arbitrario en modo kernel, pudiendo instalar programas, modificar datos o crear cuentas adicionales de administrador.
Se recomienda a los usuarios verificar si tienen instalada la actualización KB4100480, en cuyo caso se encontrarán protegidos contra las vulnerabilidades. Para ello, debemos ir a Panel de control\ Sistema y seguridad\ Windows Update y pulsar en Ver historial de actualizaciones.