Microsoft soluciona grave vulnerabilidad en Windows Defender
Project Zero de Google es una división de Google en la que un grupo de ingenieros investigan productos de otras empresas en busca de vulnerabilidades. Cuando las encuentra, avisa a la empresa y espera 90 días para que sea arreglada, antes de hacerla pública.
El 5 de Mayo pasado Tavis Ormandy, integrante de Project Zero, publicó un Tweet en el que indicaba que había encontrado una vulnerabilidad seria en Windows 10, la cual según el era la peor vulnerabilidad de ejecución de código remoto en Windows que recuerde.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. 🔥🔥🔥
— Tavis Ormandy (@taviso) May 6, 2017
El investigador también señaló que el reporte a Microsoft ya estaba en camino. La empresa de Redmond respondió rápidamente y el 9 de Mayo lanzó el parche que solucionaba el problema.
Luego el 12 de Mayo, Ormandy volvió a descubrir otra grave vulnerabilidad en Windows Defender que también comunicó de inmediato a Microsoft y aunque ahora tardaron unos días más, la semana pasada fue solucionada.
El ingeniero de Google explica esta última vulnerabilidad de la siguiente forma:
MsMpEng incluye un emulador x86 de sistema completo que se utiliza para ejecutar cualquier archivo no confiable que se parezca a un ejecutable PE. El emulador se ejecuta como NT AUTHORITY\SYSTEM y no en un sandbox. Navegando por la lista de APIs win32 que soporta el emulador, noté ntdll! NtControlChannel, una rutina similar a ioctl que permite que el código emulado controle el emulador.
Esto expone a MsMpEng a varios problemas como por ejemplo a un atacante le ofrece la posibilidad de poder ejecutar varios comandos de control de entrada/salida.
Si Windows Defender lo tienen configurado con los valores predeterminados, no necesitan hacer nada ya que el software y las definiciones de virus se actualizan en forma automática.