Microsoft publicó recientemente el Aviso de seguridad 4022344, que anuncia una grave vulnerabilidad de seguridad en el motor de protección contra malware.

Motor de protección contra malware de Microsoft

Esta herramienta es utilizada por varios productos de Microsoft, como Windows Defender y Microsoft Security Essentials en PC de consumo. También es utilizado por Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection o Windows Intune Endpoint Protection en el lado comercial.

La vulnerabilidad que afectó a todos estos productos podría permitir la ejecución remota de código si un programa que ejecuta el motor de protección contra malware de Microsoft escaneara un archivo diseñado.

Vulnerabilidad de Windows Defender corregida

Tavis Ormandy y Natalie Silvanovich de Google Project Zero descubrieron el "peor ejecutivo de código remoto de Windows en la memoria reciente" el 6 de mayo de 2017. Los investigadores informaron a Microsoft sobre esta vulnerabilidad y la información se mantuvo oculta al público para brindarle a la compañía 90 días para arreglarlo.

Microsoft creó rápidamente un parche y lanzó nuevas versiones de Windows Defender y más a los usuarios.

Los clientes de Windows que tienen los productos afectados ejecutándose en sus dispositivos deben asegurarse de que estén actualizados.

Actualiza el programa en Windows 10

• Toque la tecla de Windows, escriba Windows Defender y presione Entrar para cargar el programa.
• Si ejecuta la Actualización de creadores de Windows 10, obtendrá el nuevo Centro de seguridad de Windows Defender.
• Haga clic en el icono de la rueda dentada.
• Seleccione Acerca de en la página siguiente.
• Verifique la Versión del motor para asegurarse de que sea al menos 1.1.13704.0.

Las actualizaciones de Windows Defender están disponibles a través de Windows Update. Más información sobre la actualización manual de los productos antimalware de Microsoft está disponible en el Centro de protección contra malware en el sitio web de Microsoft.

Informe de vulnerabilidad de Google en el sitio web de Project Zero

Aquí está:

Las vulnerabilidades en MsMpEng se encuentran entre las más graves posibles en Windows, debido al privilegio, la accesibilidad y la ubicuidad del servicio.

El componente central de MsMpEng responsable del escaneo y análisis se llama mpengine. Mpengine es una vasta y compleja superficie de ataque, que comprende controladores para docenas de formatos de archivo esotéricos, empacadores ejecutables y encriptadores, emuladores de sistema completo e intérpretes para diversas arquitecturas e idiomas, etc. Todo este código es accesible para los atacantes remotos.

NScript es el componente de mpengine que evalúa cualquier sistema de archivos o actividad de red que se parezca a JavaScript. Para ser claros, este es un intérprete de JavaScript sin privilegios y sin privilegios que se utiliza para evaluar el código no confiable, de manera predeterminada en todos los sistemas Windows modernos. Esto es tan sorprendente como parece.