Microsoft lanza un parche crítico para su motor de protección antimalware, MMPE

Parche de seguridad para MMPE Windows DefenderAdemás de los parches de los Martes (como se los conoce coloquialmente) y el último parche fuera de ciclo publicado la semana pasada para taponar una brecha provocada por otro parche, ahora se ha descubierto un fallo crítico en otro componente de Windows que requiere atención inmediata.

Dicho componente no es otro que MMPE también conocido como mpengine.dll o, en un idioma más entendible, se trata del Motor de Protección Antimalware de Windows. El ID de la vulnerabilidad es CVE-2018-0986.

Este motor incorporado en el sistema operativo Windows no es lo mismo que Windows Defender, aunque dicho servicio apoya al antivirus de Microsoft, proporcionando escaneo, detección y limpieza de virus.

Puedes obtener más información sobre Windows MMPE y cómo utilizarlo en este tutorial de protegermipc.

Fallo crítico en Malware Protection Engine de Windows

Esta vulnerabilidad crítica se debe a que MMPE no escanea con éxito un archivo si este ha sido específicamente modificado, lo que lleva a una corrupción en la memoria. A su vez, al explotar dicha corrupción un atacante podría ejecutar código malicioso de forma remota en el equipo.

Si el exploit se llevase a cabo, el atacante contaría con permisos para modificar el sistema operativo y eliminar programas instalados en él. También podría modificar o hacer desaparecer datos del usuario.

NOTA: todas las versiones de Windows están afectadas.

Aprovechamiento de la vulnerabilidad CVE-2018-0986

Para poder explotar el fallo hay que pasarle al motor antimalware un archivo modificado en base a unos parámetros detallados por Microsoft. Lo que está claro es que no hace falta ser muy manitas para poder conseguirlo.

Vulnerabilidades en MMPE WindowsEste tipo de archivos perjudiciales podrían servirse en webs que visiten los usuarios objetivo y sean descargados a su PC, o bien usar herramientas de mensajería, correo…los clásicos medios de difusión de malware.

Ahora pueden ocurrir dos cosas, en función de la configuración de nuestro sistema:

  • Windows Defender tiene habilitada la protección en tiempo real, en cuyo caso mpengine analizará el archivo automáticamente sin avisar. En este caso no se requiere intervención del usuario.
  • Windows Defender funciona en modo offline o no tiene protección en tiempo real activa, en cuyo caso será necesario que el usuario decida realizar un análisis o intente abrir el archivo para que el exploit tenga éxito.

Medidas de corrección a tomar

Todos los sistemas que emplean la versión de mpengine.dll considerada vulnerable deberían ser actualizados inmediatamente, principalmente si se utiliza Windows Defender como único recurso antimalware en el equipo. El motor MMPE se actualiza automáticamente a las 48 horas de publicarse los parches (esto también depende de nuestra infraestructura).

Esta actualización corrige el fallo en MMPE versión 1.1.14700.5 adjustando la forma en que MMPE examina archivos especialmente modificados. Además de estos cambios, el presente parche incluye defensa en profundidad para defenderse mejor de ciberataques avanzados, mejorando algunos aspectos de la herramienta.

Conclusiones

Además de la obvia necesidad de parchear el “núcleo” de Windows Defender una cosa está clara: no pongas todos los huevos en una cesta. Te recomendamos instalar uno de los mejores antivirus de nuestra comparativa en conjunto con Windows Defender, dejando este último en modo offline.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.