Microsoft ha actualizado urgentemente su motor Microsoft Malware Protection (mpengine.dll) para corregir una vulnerabilidad crítica que afectaría, entre otros, a Windows Defender, Security Essentials y Exchange Server.
El problema reside en la modificación del código original, eliminando la comprobación de signo de los valores (signed int), que sí estaba presente inicialmente.
En base a la prueba de concepto publicada, un atacante, utilizando un fichero .RAR especialmente modificado, podría generar un desbordamiento de memoria y potencialmente ejecutar código de manera remota, como se comenta en el propio reporte:
An attacker that can set PosR to be -2, and DataSize to 1, will bypass the (PosR + 2 < DataSize) check.
…
A minimal sample RAR file that exhibits these traits & causes mpengine to corrupt memory and crash is attached.
Las versiones afectadas son:
- Microsoft Exchange Server 2013 y 2016
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Security Essentials
- Windows Defender (Windows 7, 8, 10, Server 2012, 2016)
- Windows Intune Endpoint Protection