Microsoft ha publicado una actualización para su motor de escaneo de malware incluido en la mayoría de los Windows, para evitar ocho vulnerabilidades (tres consideradas críticas y cinco importantes) que podrían permitir a un atacante tomar el control de los sistemas afectados o provocar condiciones de denegación de servicio.

Las vulnerabilidades fueron reportadas por Mateusz Jurczyk (@j00ru) de Project Zero de Google, y antiguo compañero de Hispasec, y son lo suficientemente importantes para que Microsoft haya publicado una actualización de forma urgente.

Mateusz @j00ru finds multiple critical remote memory corruption and a bunch of DoS in MsMpEng via fuzzing. 🏜️📦 https://t.co/vtu7kFJnFT

— Tavis Ormandy (@taviso) 26 de mayo de 2017

Según los avisos publicados por Microsoft las vulnerabilidades pueden aprovecharse cuando el Microsoft Malware Protection Engine analiza un archivo específicamente creado. Este motor de análisis se emplea en Windows Defender, el analizador de malware preinstalado en Windows 7 y posteriores, así como en otros productos de seguridad de Microsoft como: Microsoft Security Essentials, Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft System Center Endpoint Protection and Windows Intune Endpoint Protection.

Tres de los problemas podrían permitir la ejecución de código arbitrario al analizar el archivo malicioso, que se ejecutaría con privilegios LocalSystem y podría permitir tomar el control total del sistema operativo (CVE-2017-8538, CVE-2017-8540, CVE-2017-8541). Las otras cinco vulnerabilidades podrían provocar una parada del análisis con la consiguiente denegación de servicio. De forma que el servicio dejaría de monitorizar el sistema hasta su reinicio (CVE-2017-8535, CVE-2017-8536, CVE-2017-8537, CVE-2017-8539, CVE-2017-8542).

Recientemente Tavis Ormandy ya había reportado un problema similar en los productos de seguridad afectados.

El parche se está instalando en los productos configurados con actualizaciones automáticas. Los usuarios pueden comprobar que la versión es 1.1.13804.0 o posterior. También se puede encontrar información para la instalación manual desde:

https://support.microsoft.com/kb/2510781

Más información:

MsMpEng: multiple crashes while scanning malformed files

https://bugs.chromium.org/p/project-zero/issues/detail?id=1261

CVE-2017-8535 | Microsoft Malware Protection Engine Denial of Service Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8535

CVE-2017-8536 | Microsoft Malware Protection Engine Denial of Service Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8536

CVE-2017-8537 | Microsoft Malware Protection Engine Denial of Service Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8537

CVE-2017-8538 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8538

CVE-2017-8539 | Microsoft Malware Protection Engine Denial of Service Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8539

CVE-2017-8540 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8540

CVE-2017-8541 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8541

CVE-2017-8542 | Microsoft Malware Protection Engine Denial of Service Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8542

una-al-dia (09/05/2017) Actualización urgente para el motor de análisis de malware de Microsoft

http://unaaldia.hispasec.com/2017/05/actualizacion-fuera-de-ciclo-para-el.html

Antonio Ropero

[email protected]

Twitter: @aropero