Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

domingo, 14 de mayo de 2017

Vulnerabilidad GRAVE en Windows Defender. Actualiza AHORA !

Si Microsoft decide sacar un parche fuera de ciclo para solventar una vulnerabilidad en cuestión de horas, será porque es grave, ¿no?. Así que, si utilizas Windows Defender como antivirus / antimalware deberías seguir leyendo y actualizar desde la versión 13704 lo antes posible.
Se ha descubierto una vulnerabilidad -ha sido el equipo de seguridad de Google- en el motor de protección antimalware de Microsoft, por lo que se ha publicado un parche urgente. Dicha vulnerabilidad permitiría ejecución de código remoto si el antivirus analiza un archivo especialmente modificado.


Vulnerabilidad en Windows Defender

Me explico: el antivirus Windows Defender realiza, como tantos otros, escaneos de malware de forma silenciosa en segundo plano, cuando el equipo está en reposo. Dado el problema de seguridad descubierto, un archivo modificado para aprovechar esta debilidad podría poner el equipo en manos ajenas, tan pronto el escaner “abra” parte del contenido del mismo para analizarlo.
Dicho archivo podría llegar de múltiples formas, tanto desde un enlace en el navegador como desde el email o aplicaciones de mensajería.
Problema en el motor antimalware
Según apunta el Google Project Zero, se trataría de la “peor vulnerabilidad que permita ejecución remota de código en los últimos tiempos”.
Según se describe en el informe elaborado por Google, antes de utilizar Javascript el motor de Windows Defender -mpengine- usa mecanismos heurísticos para saber si necesita analizarlo. Uno de estos indicadores heurísticos estima la entropía del archivo antes de usar Javascript, pero hemos descubierto que añadiendo algunos comentarios complejos es suficiente para desencadenarlo.
En una prueba de concepto adjunta se advierte de que esta funciona de forma inmediata, pero también de que bloqueará inmediatamente el motor de Windows Defender, pudiendo además desestabilizar el equipo.
Windows Defender
Dado que mpengine descomprimirá a su antojo los archivos anidados y además soporta una cantidad enorme de archivos, no existe una forma sencilla de identificar un exploit a nivel de red.


Actualización y remediación

Según apuntan desde Project Zero, en Windows 10 se puede añadir una excepción para la unidad C:\ y sería suficiente para detener el análisis involuntario de este tipo de objetos, pudiendo igualmente ser lanzados los escaneos a petición.
De todas formas, la solución es sencilla: actualizar Windows Defender si comprobamos que su versión es anterior a la 13704.  Basta con abrir el programa desde el menú configuración > Seguridad > Windows Defender.





_____________________________________________________
Tomado de: https://protegermipc.net/2017/05/10/vulnerabilidad-windows-defender/
Se Respetan Derechos de Autor

No hay comentarios.:

Publicar un comentario