4022344 de aviso de seguridad de Microsoft
Actualización de seguridad para el motor de protección contra malware de Microsoft
Publicado: 8 de mayo de 2017 | Actualizado: 12 de mayo de 2017
Versión: 1.2
Resumen ejecutivo
Microsoft publica este aviso de seguridad para informar a los clientes de que una actualización del motor de protección contra malware de Microsoft aborda una vulnerabilidad de seguridad que se informó a Microsoft.
La actualización aborda una vulnerabilidad que podría permitir la ejecución remota del código si el motor de protección contra malware de Microsoft examina un archivo especialmente diseñado. Un atacante que aprovechara correctamente esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta localSystem y tomar el control del sistema.
El motor de protección contra malware de Microsoft se distribuye con varios productos antimalware de Microsoft. Consulte la sección Software afectado para obtener una lista de los productos afectados. Novedades al motor de protección contra malware de Microsoft se instalan junto con las definiciones de malware actualizadas para los productos afectados. Administración istrators de instalaciones empresariales deben seguir sus procesos internos establecidos para asegurarse de que la definición y las actualizaciones del motor se aprueban en su software de administración de actualizaciones y que los clientes consumen las actualizaciones en consecuencia.
Normalmente, no se requiere ninguna acción de los administradores de empresa o los usuarios finales para instalar actualizaciones para el motor de protección contra malware de Microsoft, ya que el mecanismo integrado para la detección automática y la implementación de actualizaciones aplicarán la actualización en un plazo de 48 horas de lanzamiento. El período de tiempo exacto depende del software utilizado, la conexión a Internet y la configuración de la infraestructura.
La información de este aviso también está disponible en la Guía de actualización de seguridad a la que hace referencia CVE-2017-0290.
Detalles de asesoramiento
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencias | Identificación |
|---|---|
| Última versión del motor de protección contra malware de Microsoft afectado por esta vulnerabilidad | Versión 1.1.13701.0 |
| Primera versión del motor de protección contra malware de Microsoft con esta vulnerabilidad abordada | Versión 1.1.13704.0 |
* Si la versión del motor de protección contra malware de Microsoft es igual o mayor que esta versión, no se ve afectada por esta vulnerabilidad y no es necesario realizar ninguna acción adicional. Para obtener más información sobre cómo comprobar el número de versión del motor que el software está usando actualmente, vea la sección "Comprobación de la instalación de actualizaciones", en el artículo de Microsoft Knowledge Base 2510781.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
| Antimalware Software | Vulnerabilidad de ejecución remota de código del motor de protección contra malware de Microsoft: CVE-2017-0290 |
|---|---|
| Microsoft Forefront Endpoint Protection 2010 | Crítico \ Ejecución remota de código |
| Microsoft Endpoint Protection | Crítico \ Ejecución remota de código |
| Microsoft System Center Endpoint Protection | Crítico \ Ejecución remota de código |
| Microsoft Security Essentials | Crítico \ Ejecución remota de código |
| Windows Defender para Windows 7 | Crítico \ Ejecución remota de código |
| Windows Defender para Windows 8.1 | Crítico \ Ejecución remota de código |
| Windows Defender para Windows RT 8.1 | Crítico \ Ejecución remota de código |
| Windows Defender para Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 | Crítico \ Ejecución remota de código |
| Windows Intune Endpoint Protection | Crítico \ Ejecución remota de código |
| Microsoft Exchange Server 2013 | Crítico \ Ejecución remota de código |
| Microsoft Exchange Server 2016 | Crítico \ Ejecución remota de código |
| Microsoft Windows Server 2008 R2 | Crítico \ Ejecución remota de código |
Índice de vulnerabilidades
En la tabla siguiente se proporciona una evaluación de vulnerabilidades de cada una de las vulnerabilidades abordadas este mes. Las vulnerabilidades se muestran en orden de id. de boletín y, a continuación, identificador cve. Solo se incluyen vulnerabilidades que tengan una clasificación de gravedad de Crítico o Importante en los boletines.
Cómo usar esta tabla?
Use esta tabla para obtener información sobre la probabilidad de que se ejecute el código y las vulnerabilidades de seguridad por denegación de servicio en un plazo de 30 días después de la publicación del boletín de seguridad, para cada una de las actualizaciones de seguridad que necesite instalar. Revise cada una de las evaluaciones siguientes, de acuerdo con su configuración específica, para priorizar la implementación de las actualizaciones de este mes. Para obtener más información sobre lo que significan estas clasificaciones y cómo se determinan, consulte Índice de vulnerabilidades de seguridad de Microsoft.
En las columnas siguientes, "Latest Software Release" hace referencia al software sujeto y "Versiones de software anteriores" hace referencia a todas las versiones anteriores admitidas del software sujeto, como se muestra en las tablas "Software afectado" y "Software no afectado" del boletín.
| IDENTIFICADOR DE CVE | Título de vulnerabilidad | Evaluación de vulnerabilidades de seguridad para\ Versión de software más reciente | Evaluación de vulnerabilidades para\ Versión anterior del software | Evaluación de denegación de servicio\ vulnerabilidad |
|---|---|---|---|---|
| CVE-2017-0290 | Vulnerabilidad de daños en la memoria del motor de scripting | 2 - Explotación menos probable | 2 - Explotación menos probable | No aplicable |
Preguntas más frecuentes sobre asesoramiento
¿Microsoft publica un boletín de seguridad para solucionar esta vulnerabilidad?
No. Microsoft publica este aviso de seguridad informativo para informar a los clientes de que una actualización del motor de protección contra malware de Microsoft aborda una vulnerabilidad de seguridad que se informó a Microsoft.
Normalmente, no se requiere ninguna acción de los administradores de empresa ni de los usuarios finales para instalar esta actualización.
¿Por qué no es necesario realizar ninguna acción para instalar esta actualización?
En respuesta a un panorama de amenazas que cambia constantemente, Microsoft actualiza con frecuencia las definiciones de malware y el motor de protección contra malware de Microsoft. Para ser eficaces para ayudar a protegerse frente a amenazas nuevas y frecuentes, el software antimalware debe mantenerse actualizado con estas actualizaciones de forma oportuna.
Para las implementaciones empresariales, así como para los usuarios finales, la configuración predeterminada en el software antimalware de Microsoft ayuda a garantizar que las definiciones de malware y el motor de protección contra malware de Microsoft se mantengan actualizados automáticamente. La documentación del producto también recomienda que los productos estén configurados para la actualización automática.
Los procedimientos recomendados recomiendan que los clientes comprueben periódicamente si la distribución de software, como la implementación automática de las actualizaciones y las definiciones de malware del motor de protección contra malware de Microsoft, funciona según lo previsto en su entorno.
¿Con qué frecuencia se actualizan las definiciones de malware y el motor de protección contra malware de Microsoft?
Microsoft normalmente publica una actualización para el motor de protección contra malware de Microsoft una vez al mes o según sea necesario para protegerse frente a nuevas amenazas. Microsoft también suele actualizar las definiciones de malware tres veces al día y puede aumentar la frecuencia cuando sea necesario.
En función del software antimalware de Microsoft que se use y cómo se configura, el software puede buscar actualizaciones de motor y definición cada día cuando esté conectado a Internet, hasta varias veces al día. Los clientes también pueden optar por buscar actualizaciones manualmente en cualquier momento.
¿Cómo puedo instalar la actualización?
Consulte la sección Acciones sugeridas para obtener más información sobre cómo instalar esta actualización.
¿Qué es el motor de protección contra malware de Microsoft?
El motor de protección contra malware de Microsoft, mpengine.dll, proporciona las funcionalidades de detección, detección y limpieza para antivirus de Microsoft y software antispyware.
¿Esta actualización contiene cambios adicionales relacionados con la seguridad en la funcionalidad?
Sí. Además de los cambios enumerados para esta vulnerabilidad, esta actualización incluye actualizaciones detalladas de defensa para ayudar a mejorar las características relacionadas con la seguridad.
¿Dónde puedo encontrar más información sobre la tecnología antimalware de Microsoft?
Para obtener más información, visite el sitio web de Centro de protección contra malware de Microsoft.
Vulnerabilidad de ejecución remota del código del motor de protección contra malware de Microsoft: CVE-2017-0290
Existe una vulnerabilidad de ejecución remota de código cuando el motor de protección contra malware de Microsoft no examina correctamente un archivo especialmente diseñado que provoca daños en la memoria.
Un atacante que aprovechara correctamente esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta localSystem y tomar el control del sistema. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
Para aprovechar esta vulnerabilidad, una versión afectada del motor de protección contra malware de Microsoft debe examinar un archivo especialmente diseñado. Hay muchas maneras de que un atacante pueda colocar un archivo especialmente diseñado en una ubicación que examina el motor de protección contra malware de Microsoft. Por ejemplo, un atacante podría usar un sitio web para entregar un archivo especialmente diseñado al sistema de la víctima que se examina cuando el usuario ve el sitio web. Un atacante también podría entregar un archivo especialmente diseñado a través de un mensaje de correo electrónico o en un mensaje de Instant Messenger que se examina cuando se abre el archivo. Además, un atacante podría aprovechar los sitios web que aceptan o hospedan contenido proporcionado por el usuario, para cargar un archivo especialmente diseñado en una ubicación compartida que examina el motor de protección contra malware que se ejecuta en el servidor de hospedaje.
Si el software antimalware afectado tiene activada la protección en tiempo real, el motor de protección contra malware de Microsoft escaneará los archivos automáticamente, lo que dará lugar a la explotación de la vulnerabilidad cuando se examine el archivo especialmente diseñado. Si el examen en tiempo real no está habilitado, el atacante tendría que esperar hasta que se produzca un examen programado para que se aproveche la vulnerabilidad. Todos los sistemas que ejecutan una versión afectada del software antimalware están principalmente en riesgo.
La actualización aborda la vulnerabilidad mediante la corrección de la manera en que el motor de protección contra malware de Microsoft examina archivos especialmente diseñados.
Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades.
Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes cuando se emitió originalmente este aviso de seguridad.
Acciones sugeridas
Compruebe que la actualización está instalada
Los clientes deben comprobar que la versión más reciente del motor de protección contra malware de Microsoft y las actualizaciones de definiciones se descargan e instalan activamente para sus productos antimalware de Microsoft.Para obtener más información sobre cómo comprobar el número de versión del motor de protección contra malware de Microsoft que usa actualmente el software, consulte la sección "Comprobación de la instalación de actualizaciones", en el artículo de Microsoft Knowledge Base 2510781.
Para el software afectado, compruebe que la versión del motor de protección contra malware de Microsoft es 1.1.13704.0 o posterior.
Si es necesario, instale la actualización.
Administración istrators de implementaciones antimalware empresariales deben asegurarse de que su software de administración de actualizaciones esté configurado para aprobar y distribuir automáticamente las actualizaciones del motor y las nuevas definiciones de malware. Los administradores de empresa también deben comprobar que la versión más reciente del motor de protección contra malware de Microsoft y las actualizaciones de definiciones se descargan, aprueban e implementan activamente en su entorno.Para los usuarios finales, el software afectado proporciona mecanismos integrados para la detección automática y la implementación de esta actualización. Para estos clientes, la actualización se aplicará en un plazo de 48 horas a partir de su disponibilidad. El período de tiempo exacto depende del software utilizado, la conexión a Internet y la configuración de la infraestructura. Los usuarios finales que no desean esperar pueden actualizar manualmente su software antimalware.
Para obtener más información sobre cómo actualizar manualmente las definiciones de malware y motor de protección contra malware de Microsoft, consulte el artículo de Microsoft Knowledge Base 2510781.
Agradecimientos
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- Natalie Silvanovich y Tavis Ormandy de Google Project Zero
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (8 de mayo de 2017): Aviso publicado.
- V1.1 (11 de mayo de 2017): se ha agregado un vínculo a la misma información en la Guía de actualización de seguridad. Solo se trata de un cambio informativo.
- V1.2 (12 de mayo de 2017): se agregaron entradas a la tabla de software afectada. Solo se trata de un cambio informativo.
Página generada 2017-06-14 10:20-07:00.