Parcheado el motor antimalware por un bug de seguridad

by Admin 16. marzo 2011 09:00
En estos días se ha producido una actualización del motor de análisis de software malicioso en ciertos productos antimalware de Microsoft. Pero ésta no es una mera actualización, sino que también corrige una vulnerabilidad reportada por el investigador argentino Cesar Cerrudo, la cual podría permitir una elevación de privilegios en ciertos escenarios y ciertos productos, como por ejemplo, Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Esta vulnerabilidad, categorizada por Microsoft como importante: KB2491888 y archivada en el número de expediente CVE-2011-0037, permitiría esa elevación de privilegios si se ejecuta un análisis del sistema después de que el atacante, el cual posee credenciales válidas para iniciar sesión, haya creado una clave de registro expresamente diseñada para explotar este bug. En el caso de que el ataque fuese exitoso, el atacante podría obtener los mismos derechos que la cuenta de Local System y ejecutar código en ese contexto de seguridad, como por ejemplo, crear usuarios, instalar programas, etc…. Hay que tener muy en cuenta que esta vulnerabilidad no puede ser explotada por usuarios anónimos.

Microsoft indica que no se requiere ninguna acción especial para mitigar esta vulnerabilidad, únicamente que se tengan actualizadas las ultimas definiciones antimalware. Para ello, las indicaciones para los administradores de empresa es que deben de revisar que el software de administración de actualizaciones que se utilice está configurado para aprobar y distribuir las actualizaciones del motor de forma automática. Para los usuarios finales, es el propio software afectado el que detectará y descargará esta actualización.

Para comprobar si estamos afectados por esta vulnerabilidad y pasar a actualizar nuestro producto, ya sea a través de Microsoft Update o a través de la descarga manual de las últimas definiciones, hay que abrir el cliente que se tenga instalado de alguno de los programas afectados, hacer clic en el cursor que se encuentra a la derecha de la opción Ayuda para desplegar las diferentes opciones, y seleccionar la opción Acerca de…, tal y como se muestra en la imagen inferior.


Imagen 1: Revisión de la versión de motor

Al hacer clic, aparecerá una ventana en la que se informará de las diferentes versiones de los componentes de la solución antimalware instalados en el sistema. En el caso de la vulnerabilidad que se trata en este artículo, es necesario revisar la versión del motor instalada.


Imagen 2: Versión del motor

Si se tiene la versión 1.1.6502.0 o inferior, ese cliente está afectado por la vulnerabilidad, con lo que se recomienda la actualización del motor lo antes posible. En el caso de tener la versión 1.1.6603.0, eso indica que no hay riesgos de que la vulnerabilidad pueda ser explotada ya que esa es la versión desplegada por Microsoft para solucionar el problema. Con lo cual, revisad la versión de vuestro motor antimalware lo antes posible para comprobar que no vais a tener problemas con este bug.
 
Category: Forefront Client Security, Forefront EndPoint Protection 2010, Microsoft Security Essentials
Tags: , , , ,
Comentarios (0)
E-mail Permalink Post RSS
Comentarios no permitidos

Un Blog de:

Paperblog

Libros de Forefront TMG 2010
& SharePoint 2010: Seguridad
¡Ya disponibles a la venta!

 
250 páginas. 20 €. En Español

Compra tu Libro de Seguridad

 
250 páginas. 20 y 12 €. En Español

Próximos Eventos Seguridad & Forefront

Compra tus libros de:
Análisis Forense & LOPD

GFI Web Monitor

MetaShield Protector

Calendario de Artículos

<<  mayo 2012  >>
lumamijuvido
30123456
78910111213
14151617181920
21222324252627
28293031123
45678910

Mostrar calendario en la página principal

Últimos Comentarios

Comment RSS