Esta misma mañana, que escribió acerca de la “peor ejecutivo de código remoto de Windows en la memoria reciente”descubierto por investigadores del Proyecto Cero Google Tavis Ormandy y Natalie Silvanovich. El error aterradora ahora se hace pública y se ha identificado como CVE-2.017 a 0.290. El error estaba en el funcionamiento motor de protección contra malware de Microsoft en la mayoría de las herramientas anti-malware de Microsoft incluido con el sistema operativo. Pues resulta que, el motor MsMpEng fue sobre-privilegiado y-un recinto de seguridad.
Lo que es más sorprendente, sin embargo, es que Microsoft ha tenido éxito para liberar un parche de emergencia en una aviso de seguridad.
Aquí está la lista de productos afectados:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security para SharePoint Service Pack 3
- System Center Microsoft Protección de punto final
- Microsoft Security Essentials
- Windows Defender para Windows 7
- Windows Defender para Windows 8.1
- Windows Defender para Windows RT 8.1
- Windows Defender para Windows 10, Ventanas 10 1511, Ventanas 10 1607, Windows Server 2016, Ventanas 10 1703
- Windows Intune Endpoint Protection
Más sobre CVE-2017-O290
Al parecer,, el motor MsMpEng podría acceder de forma remota a través de varias crítico, servicios ubicuos de Windows, como Exchange y el servidor web IIS.
Según Google de informe de error, "vulnerabilidades en MsMpEng están entre los más severa posible en Windows, debido al privilegio, accesibilidad, y la ubicuidad del servicio".
en estaciones de trabajo, los atacantes pueden acceder mpengine mediante el envío de correos electrónicos a los usuarios (leer el correo electrónico o abrir archivos adjuntos no es necesario), enlaces de visita en un navegador web, mensajería instantánea, etc.. Este nivel de accesibilidad es posible porque MsMpEng utiliza un sistema de archivos minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que escribir contenidos controlados a cualquier lugar en el disco (por ejemplo. cachés, archivos temporales de Internet, descargas (incluso descargas sin confirmar), archivos adjuntos, etc) es suficiente para acceder a la funcionalidad en mpengine.
En cuanto a las actualizaciones, que se envían automáticamente al motor en los próximos dos días, microsoft dice. La actualización corrige un fallo que podría permitir la ejecución remota de código si el motor de protección contra malware de Microsoft escanea un archivo especialmente diseñado. Un atacante que aprovechara CVE-2017-0290 podría ejecutar código arbitrario en el contexto de seguridad de la cuenta LocalSystem y tomar el control del sistema, microsoft añade.