Microsoft ha publicat recentment el Security Advisory 4022344, anunciant una greu vulnerabilitat de seguretat en el motor de protecció contra programari maliciós.

Motor de protecció contra programari contra programari Microsoft

Aquesta eina l'utilitzen diversos productes de Microsoft com Windows Defender i Microsoft Security Essentials en equips de consum. També s'utilitza per Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection o Windows Intune Endpoint Protection per als negocis.

La vulnerabilitat que afectava tots aquests productes podria permetre l'execució remota de codi si un programa que executés Microsoft Malware Protection Engine escanejés un fitxer dissenyat.

S'ha solucionat la vulnerabilitat de Windows Defender

Tavis Ormandy i Natalie Silvanovich, de Google Project Zero, van descobrir el "pitjor execució del codi remot de Windows de la memòria recent" el 6 de maig de 2017. Els investigadors van dir a Microsoft aquesta vulnerabilitat i la informació es va mantenir oculta al públic per tal de donar a l'empresa. 90 dies per solucionar-ho.

Microsoft va crear ràpidament un pedaç i va treure noves versions de Windows Defender i molt més als usuaris.

Els clients de Windows que tinguin els productes afectats funcionant als seus dispositius s’han d’assegurar que estiguin actualitzats.

Actualitzeu el programa a Windows 10

• Toqueu la tecla Windows, escriviu Windows Defender i feu clic a Enter per carregar el programa.
• Si publiqueu Windows 10 Creators Update, obtindreu el nou Centre de seguretat de Windows Defender.
• Feu clic a la icona de roda dentada.
• Seleccioneu Quant a la pàgina següent.
• Comproveu la versió del motor per assegurar-vos que sigui almenys 1.1.13704.0.

Les actualitzacions de Windows Defender estan disponibles a través de Windows Update. Per obtenir més informació sobre l’actualització manual dels productes anti-malware de Microsoft es troba disponible al centre de protecció de programari maliciós al lloc web de Microsoft.

Informe de vulnerabilitat de Google al lloc web Project Zero

Aquí està:

Les vulnerabilitats de MsMpEng són les més severes possibles a Windows, a causa del privilegi, l’accessibilitat i la ubiqüitat del servei.

El component principal de MsMpEng, responsable de l'escaneig i de l'anàlisi, s'anomena mpengine. Mpengine és una àmplia i complexa superfície d'atac, que inclou manipuladors per a desenes de formats d'arxiu esotèrics, empaquetadors i criptors executables, emuladors i intèrprets de sistema complet per a diverses arquitectures i llenguatges, etc. Tot aquest codi és accessible per a atacants remots.

NScript és el component de mpengine que avalua qualsevol sistema de fitxers o activitat de xarxa que sembli JavaScript. Per ser clar, es tracta d’un intèrpret de JavaScript que no s’utilitza i que s’ofereix amb privilegi, que s’utilitza per avaluar codi de confiança, per defecte en tots els sistemes Windows moderns. Això és tan sorprenent com sona.