9 may. 2017

En 90 días aparecerá un RCE en Windows (Actualiza Windows Defender!)

Investigadores de seguridad de Google Project Zero han descubierto una vulnerabilidad crítica que permite Ejecución Remota de Código (RCE) en Windows y Tavis Ormandy anunció que es realmente grave.
Ormandy no proporcionó más detalles sobre el error, ya que Google da un plazo de 90 días antes de la divulgación, dando tiempo para que los proveedores puedan parchear sus productos antes divulgarlos al público. Esto significa que los detalles del nuevo RCE en Windows se divulgará dentro de 90 días a partir de ahora, incluso si Microsoft no soluciona el problema.

Sin embargo, Ormandy más tarde reveló algunos detalles de la falla de RCE de Windows, aclarando que:
  • La vulnerabilidad funciona contra instalaciones predeterminadas de Windows.
  • El atacante no necesita estar en la misma red de área local (LAN) que la víctima, lo que significa que los equipos vulnerables de Windows pueden ser atacados de forma remota.
  • El ataque tiene capacidades de ser "wormable", lo cual significa que puede crearse un gusano y el mismo puede propagarse automáticamente.
  • Finalmente se publicó la información del bug donde se confirma que el afectado es el Malware Protection Service (MsMpEng), habilitado por defecto Windows 8, 8.1, 10 y Windows Server 2012.
Microsoft Security Essentials, Windows Defender, System Center Endpoint Protection y varios otros productos de seguridad de Microsoft comparten el mismo motor central: MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

Los investigadores encontraron que MsMpEngine contiene un componente llamado NScript que analiza el sistema de archivos que se parece a JavaScript. NScript no está en una sandbox y se ejecuta con privilegios de System, y se utiliza para evaluar el código no confiable en casi todos los Windows.
 

NScript se puede explotar con unas pocas líneas de JavaScript, que se pueden inyectar a través de una página web especialmente diseñada, correo electrónico, o cualquier otro vector de ataque. 

Algunos profesionales han criticado al investigador de Google Project Zero por hacer pública la vulnerabilidad, mientras que la comunidad infosec de Twitter parece estar satisfecha con el trabajo.

Microsoft ya ha publicado la actualización 4022344 identificada como CVE-2017-0290.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!