Clicky

Falla en el MMPE de Microsoft permite el control total del sistema

Categoría: Seguridad
Visitas: 1382
Microsoft logo

mpengine.dll proporciona funciones de escaneo, detección y limpieza para una variedad de software antivirus y antispyware

Una vulnerabilidad crítica y extremadamente fácil de explotar en el Motor de Protección contra Malware de Microsoft (MMPE) ha sido revisada a través de una actualización de seguridad fuera de banda (Out-of-band) lanzada por Microsoft el martes.

 

"Los administradores de implementaciones empresariales antimalware deben garantizar que su software de administración de actualizaciones esté configurado para aprobar y distribuir automáticamente las actualizaciones del motor y las nuevas definiciones de malware. Los administradores de la empresa también deben verificar que la última versión del Motor de Protección contra Malware de Microsoft y las actualizaciones de definiciones se descarguen activamente, se aprueben y se implementen en su entorno", aconsejó Microsoft.

"Para los usuarios finales, el software afectado proporciona mecanismos incorporados para la detección e implementación automática de esta actualización. Para estos clientes, la actualización se aplicará dentro de las 48 horas posteriores a su disponibilidad. El marco de tiempo exacto depende del software utilizado, la conexión a Internet y la configuración de la infraestructura. Los usuarios finales que no desean esperar pueden actualizar manualmente su software antimalware".

Acerca de la vulnerabilidad (CVE-2018-0986)

El Motor de Protección contra Malware de Microsoft, mpengine.dll, proporciona las funciones de escaneo, detección y limpieza para una variedad de software antivirus y antispyware de Microsoft: Windows Defender, Microsoft Endpoint Protection, Microsoft Security Essentials, y más.

Microsoft Security Essentials

CVE-2018-0986 fue descubierto por Thomas Dullien (también conocido como "Halvar Flake"), un investigador de seguridad de Google Project Zero.

La fuente de la vulnerabilidad es una versión anterior de la utilidad de archivado de código abierto unrar, que ha sido bifurcada y modificada por Microsoft e incorporada en el MMPE.

"Para explotar esta vulnerabilidad, un archivo especialmente diseñado debe ser escaneado por una versión afectada del Motor de Protección contra Malware de Microsoft", explicó Microsoft, y señaló que hay muchas maneras en que un archivo de este tipo se puede colocar en una ubicación escaneada por el MMPE.

"Por ejemplo, un atacante podría usar un sitio web para entregar al sistema de la víctima un archivo especialmente diseñado que se escanea cuando el usuario ve el sitio web. Un atacante también podría entregar un archivo especialmente diseñado a través de un mensaje de correo electrónico o en un mensaje de Instant Messenger que se escanea cuando se abre el archivo. Además, un atacante podría aprovechar los sitios web que aceptan o alojan contenido proporcionado por el usuario, para cargar un archivo especialmente diseñado en una ubicación compartida que es escaneada por Malware Protection Engine que se ejecuta en el servidor de alojamiento".

La explotación se puede desencadenar sin interacción del usuario si el software antimalware afectado tiene activada la protección en tiempo real. De lo contrario, el atacante tendría que esperar hasta que ocurra un escaneo programado.

Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta LocalSystem y tomar el control del sistema, y hacer cosas como instalar programas (malware adicional); ver, cambiar o eliminar datos; o crear cuentas nuevas con derechos de usuario completos.

Los usuarios que deseen comprobar si se ha implementado la actualización pueden seguir estas instrucciones proporcionadas por Microsoft. La primera versión de MMPE con esta vulnerabilidad abordada es la versión 1.1.14700.5.

"La criticidad para Microsoft depende en gran medida de la línea de productos individuales. Para el producto de Windows, las vulnerabilidades más críticas son las que hacen que los usuarios pierdan el control de sus computadoras en su totalidad. En el caso de que este exploit esté parcheado, ofrece un peor escenario: la misma herramienta que Microsoft usa para proteger a sus usuarios contra él. Esta no es la primera vez que AV ha sido el objetivo. Los proveedores de seguridad, especialmente, necesitan asegurar usando todos los métodos disponibles, ya que ejecutan procesos privilegiados por naturaleza", comentó Aaron Zander, ingeniero de TI en HackerOne.

"Si bien es difícil decir si CVE 2018-0986 fue explotado alguna vez en el pasado, la dificultad en la elaboración de este exploit solo deja a la élite en condiciones de hacerlo. Si se pusieran a disposición herramientas que permitieran a otros crear sus propias cargas útiles, esto abriría la superficie de ataque a más usuarios. Dicho todo esto, estar siempre al tanto de las actualizaciones del proveedor de sistema operativo es un paso simple y fácil para mitigar el riesgo de fallas de seguridad".