Exportar (0) Imprimir
Expandir todo

Documento informativo sobre seguridad de Microsoft 2974294

Una vulnerabilidad en Microsoft Malware Protection Engine podría permitir la denegación de servicio

Publicado: 17 de junio de 2014

Versión: 1.0

Información general

Resumen ejecutivo

Microsoft publica este documento informativo sobre seguridad para informar a los clientes de que una actualización de Microsoft Malware Protection Engine corrige una vulnerabilidad de seguridad comunicada a Microsoft. La vulnerabilidad podría permitir la denegación de servicio si Microsoft Malware Protection Engine analiza un archivo especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría impedir que Microsoft Malware Protection Engine supervisara los sistemas afectados hasta que el archivo especialmente diseñado se quite manualmente y se reinicie el servicio.

Microsoft Malware Protection Engine se incluye con varios productos antimalware de Microsoft. Vea la sección Software afectado para obtener una lista de los productos afectados. Las actualizaciones de Microsoft Malware Protection Engine se instalan junto con las definiciones de malware actualizadas para los productos afectados. Los administradores de instalaciones empresariales deben seguir sus procesos internos establecidos para asegurarse de que las actualizaciones de definiciones y de motor están aprobadas en su software de administración de actualizaciones, y de que los clientes consumen las actualizaciones en consecuencia.

Normalmente, no se requiere ninguna acción de los administradores de empresa o de los usuarios finales para instalar las actualizaciones de Microsoft Malware Protection Engine, porque el mecanismo integrado para la detección e implementación automáticas de esta actualización las aplicará en el plazo de 48 después de la publicación. El intervalo temporal exacto depende del software usado, la conexión a Internet y la configuración de la infraestructura.

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

Referencias

Identificación

Referencia de CVE

CVE-2014-2779

Artículo de Microsoft Knowledge Base

2974294

Última versión de Microsoft Malware Protection Engine afectada por esta vulnerabilidad

Versión 1.1.10600.0

Primera versión de Microsoft Malware Protection Engine con esta vulnerabilidad corregida

Versión 1.1.10701.0*

*Si su versión de Microsoft Malware Protection Engine es igual o superior a esta versión, no está afectado por la vulnerabilidad y no debe realizar ninguna acción. Para obtener más información acerca de cómo comprobar el número de versión del motor, vea la sección “Comprobación de la instalación de la actualización”, en el artículo 2510781 de Microsoft Knowledge Base.

Este documento informativo trata sobre el software que se indica a continuación.

Software afectado

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado

Software antimalware

Vulnerabilidad de denegación de servicio en Microsoft Malware Protection Engine (CVE-2014-2779)

Microsoft Forefront Client Security

Importante 
Denegación de servicio

Microsoft Forefront Endpoint Protection 2010

Importante 
Denegación de servicio

Microsoft Forefront Security para SharePoint Service Pack 3

Importante 
Denegación de servicio

Microsoft System Center 2012 Endpoint Protection

Importante 
Denegación de servicio

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Importante 
Denegación de servicio

Herramienta de eliminación de software malintencionado de Microsoft[1]

Importante 
Denegación de servicio

Microsoft Security Essentials

Importante 
Denegación de servicio

Versión previa de Microsoft Security Essentials

Importante 
Denegación de servicio

Windows Defender para Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2

Importante 
Denegación de servicio

Windows Defender para Windows RT y Windows RT 8.1

Importante 
Denegación de servicio

Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2

Importante 
Denegación de servicio

Windows Defender Offline

Importante 
Denegación de servicio

Windows Intune Endpoint Protection

Importante 
Denegación de servicio

[1]Solo se aplica a las versiones de mayo de 2014 o anteriores de la Herramienta de software malintencionado de Microsoft.

Software no afectado

Software antimalware

No ejecuta Malware Protection Engine

Consola de administración de Microsoft Forefront Server Security

Microsoft Internet Security and Acceleration (ISA) Server

La siguiente tabla proporciona una evaluación de explotabilidad de la vulnerabilidad tratada en este documento informativo.

¿Cómo se usa esta tabla?

Use esta tabla para obtener información acerca de la probabilidad de que se publique código funcional que aproveche la vulnerabilidad en el plazo de 30 días desde la publicación del documento informativo. Debe revisar la evaluación siguiente, según su configuración específica, con el fin de asignar prioridades a la implementación. Para obtener más información acerca de lo que significan estas clasificaciones y cómo se determinan, vea el índice de explotabilidad de Microsoft.

Título de vulnerabilidad

Identificador CVE

Evaluación de explotabilidad para la última versión de software

Evaluación de explotabilidad para la versión de software anterior

Evaluación de explotabilidad de denegación de servicio

Notas clave

Vulnerabilidad de denegación de servicio en Microsoft Malware Protection Engine

CVE-2014-2779

3 - Improbabilidad de código que aproveche la vulnerabilidad

3 - Improbabilidad de código que aproveche la vulnerabilidad

Permanente

Se trata de una vulnerabilidad de denegación de servicio.

Si se aprovecha esta vulnerabilidad, se podría provocar que el sistema operativo o una aplicación dejara de responder de forma permanente hasta que se reinicie manualmente. También se podría provocar que una aplicación se cierre o finalice de forma inesperada sin recuperación automática.

¿Microsoft va a publicar un boletín de seguridad para corregir esta vulnerabilidad? 
No. Microsoft publica este documento informativo sobre seguridad para informar a los clientes de que una actualización de Microsoft Malware Protection Engine corrige una vulnerabilidad de seguridad comunicada a Microsoft.

Normalmente, no se requiere ninguna acción de los administradores de empresa o de los usuarios finales para instalar esta actualización.

¿Por qué normalmente no se requiere ninguna acción para instalar esta actualización? 
Como respuesta al panorama de amenazas en constante cambio, Microsoft actualiza con frecuencia las definiciones de malware y Microsoft Malware Protection Engine. Para que sea eficaz en la protección contra amenazas nuevas y habituales, el software antimalware tiene que estar actualizado con estas actualizaciones de un modo oportuno.

Para las implementaciones de empresa, así como para usuarios finales, la configuración predeterminada del software antimalware de Microsoft contribuye a garantizar que las definiciones de malware y Microsoft Malware Protection Engine se actualizan automáticamente. La documentación del producto también recomienda que los productos se configuren para la actualización automática.

Los procedimientos recomendados aconsejan que los clientes comprueben periódicamente si la distribución de software, como la implementación automática de las actualizaciones de Microsoft Malware Protection Engine y las definiciones de malware, funciona del modo previsto en su entorno.

¿Con qué frecuencia se actualizan Microsoft Malware Protection Engine y las definiciones de malware? 
Microsoft normalmente publica una actualización de Microsoft Malware Protection Engine una vez al mes o según sea necesario como protección contra nuevas amenazas. Microsoft también actualiza normalmente las definiciones de malware tres veces al día y puede aumentar la frecuencia cuando sea necesario.

En función del software antimalware de Microsoft que se use y el modo en que está configurado, el software puede buscar actualizaciones del motor y de las definiciones cada día al conectarse a Internet, hasta varias veces al día. Los clientes también pueden optar por buscar manualmente actualizaciones en cualquier momento.

¿Cómo puedo instalar la actualización? 
Consulte en la acción Acciones sugeridas los detalles acerca de cómo instalar esta actualización.

¿Qué es Microsoft Malware Protection Engine? 
Microsoft Malware Protection Engine, mpengine.dll, proporciona capacidades de análisis, detección y limpieza para el software antivirus y contra spyware de Microsoft.

¿Dónde puedo obtener más información acerca de la tecnología antimalware de Microsoft? 
Para obtener más información, vaya al sitio web del Centro de protección contra malware de Microsoft.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de denegación de servicio.

¿Cuál es la causa de esta vulnerabilidad? 
La vulnerabilidad se debe a que Microsoft Malware Protection Engine no analiza correctamente un archivo especialmente diseñado, lo que provoca que se agote el tiempo de espera en el análisis.

¿Para qué puede utilizar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría impedir que Microsoft Malware Protection Engine supervisara los sistemas afectados hasta que el archivo especialmente diseñado se quite manualmente y se reinicie el servicio.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Para aprovechar esta vulnerabilidad, es necesario que se analice un archivo especialmente diseñado mediante una versión afectada de Microsoft Malware Protection Engine. Existen numerosas formas en las que un atacante podría guardar un archivo especialmente diseñado en una ubicación analizada por Microsoft Malware Protection Engine. Por ejemplo, un atacante podría usar un sitio web para suministrar un archivo especialmente diseñado al sistema de la víctima que se analiza cuando el usuario visita el sitio web. Un atacante también podría proporcionar un archivo especialmente diseñado a través de un mensaje de correo electrónico o de Instant Messenger que se analice al abrir el archivo. Además, el atacante podría aprovechar los sitios web que aceptan u hospedan contenido proporcionado por el usuario para cargar un archivo especialmente diseñado en una ubicación compartida que analice Malware Protection Engine que se ejecuta en el servidor de hospedaje.

Si el software antimalware tiene activada la protección en tiempo real, Microsoft Malware Protection Engine analizará los archivos automáticamente, lo que provoca que se aproveche la vulnerabilidad cuando se analiza el archivo especialmente diseñado. Si no está habilitado el análisis en tiempo real, el atacante tendría que esperar hasta que se produzca un análisis programado para que se aproveche la vulnerabilidad.

Además, la vulnerabilidad se podría aprovechar cuando el sistema se analice con una versión afectada de la Herramienta de eliminación de software malintencionado (MSRT).

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Todos los sistemas que ejecutan una versión afectada del software antimalware están más expuestos.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar el modo en que Microsoft Malware Protection Engine analiza los archivos especialmente diseñados.

En el momento de publicar este documento informativo sobre seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este documento informativo sobre seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad? 
No. En el momento de publicar este documento informativo sobre seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

  • Comprobar que la actualización está instalada

    Los clientes deben comprobar que la versión más reciente de Microsoft Malware Protection Engine y las actualizaciones de definiciones se han descargado e instalado activamente para sus productos antimalware de Microsoft.

    Para obtener más información acerca de cómo comprobar el número de versión de Microsoft Malware Protection Engine, vea la sección “Comprobación de la instalación de la actualización”, en el artículo 2510781 de Microsoft Knowledge Base.

    Para el software afectado, compruebe que la versión de Microsoft Malware Protection Engine sea 1.1.10701.0 o posterior.

  • Si necesario, instale la actualización

    Los administradores de las implementaciones de antimalware de empresa deben asegurarse de que su software de administración de actualizaciones está configurado para aprobar y distribuir automáticamente las actualizaciones de motor y las nuevas definiciones de malware. Los administradores de empresa también deben comprobar que la versión más reciente de Microsoft Malware Protection Engine y las actualizaciones de definiciones se han descargado, aprobado e implementado de forma activa en su entorno.

    En el caso de los usuarios finales, el software afectado proporciona mecanismos integrados para la detección e implementación automáticas de esta actualización. Para estos clientes, la actualización se aplicará en el plazo de 48 horas desde su disponibilidad. El intervalo temporal exacto depende del software usado, la conexión a Internet y la configuración de la infraestructura. Los usuarios finales que no deseen esperar, pueden actualizar manualmente su software antimalware.

    Para obtener más información acerca de cómo actualizar manualmente Microsoft Malware Protection Engine y las definiciones de malware, consulte el artículo 2510781 de Microsoft Knowledge.

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Tavis Ormandy, de Google Project Zero, por colaborar con nosotros en la vulnerabilidad de denegación de servicio en Microsoft Malware Protection Engine (CVE-2014-2779)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Soporte técnico

Renuncia

La información proporcionada en este documento informativo se suministra “tal cual”, sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (17 de junio de 2014): Publicación del documento informativo.

Página generada el 2014-06-17 12:01Z-07:00.
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2015 Microsoft