Parche urgente para el motor antimalware de Windows

Aparte de los parches de los Martes para Diciembre, que serán lanzados en breve, Microsoft ha publicado uno fuera de ciclo dada su criticidad. El CVE-2017-11937 se refiere a un fallo en el motor antimalware de Windows, conocido como Malware Protection Engine o MPE.

Parche urgente para el motor antimalware de Windows

 

El fallo al que hace referencia es de tipo RCE (Remote Code Execution o Ejecución Remota de Código) y es el más grave que puede sufrir un servicio, ya que permite a un atacante insertar comandos remotos. 

CVE-2017-11937 en el motor antimalware de Windows

El Malware Protection Engine es el principal componente de defensa de Windows (salvo que hayamos instalado otro antivirus) y se encarga del escaneo, detección y desinfección de malware. 

Este servicio está habilitado por defecto y es usado por los antivirus de Microsoft para sistemas de escritorio, Windows Defender y Microsoft Security Essentials, más también para los sistemas profesionales como Endpoint Protection y Microsoft Forefront Endpoint Protection.

Este fallo afecta a Exchange Server 2013/2016 y a los sistemas operativos Windows 7, Windows 8.1, Windows 10, RT 8.1 y también Windows Server.

Esta vulnerabilidad se da por corrupción de la memoria, que ocurre cuando el Malware Protection Engine analiza un archivo especialmente modificado.

Cuando se aprovecha la vulnerabilidad, el atacante puede ejecutar código malicioso en el contexto de seguridad de LocalSystem (con los permisos de una cuenta con privilegios elevados) y por tanto obtiene el control total del equipo atacado. Es decir, podría seguir lanzando código o crear cuentas de usuario privilegiadas a placer.

Este fallo de seguridad permite al atacante crear, borrar, modificar o configurar cuentas y servicios en el equipo.

Aprovechamiento de la vulnerabilidad

Para conseguir aprovechar la vulnerabilidad, un atacante remoto podría hacer varias cosas:

Colocar un archivo malicioso alterado en una de las ubicaciones normalmente analizadas por el motor de protección antimalware de Windows (MPE). Esto podría hacerse desde un sitio web que realice una descarga silenciosa al equipo.

Otro vector de infección sería el email, que también serviría como medio de difusión de este archivo modificado. También la mensajería instantánea podría aprovecharse para esto.

Aplicación del parche

Microsoft asegura que la vulnerabilidad no ha sido explotada aún y urge a usuarios y empresas a mantener el MPE actualizado con este parche fuera de ciclo.

Tanto para empresas como para usuarios finales, la configuración por defecto del servicio antimalware de Microsoft instala las definiciones más recientes de manera automática. En caso de que hayamos alterado el funcionamiento de Windows Update, deberemos descargar la actualización manualmente.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.