Vulnerabilità Critica in Servizi Anti-Malware Microsoft

Con la presente Yoroi desidera informarLa che sono stati recentemente rilasciati aggiornamenti di sicurezza critici per una vulnerabilità presente all’interno del motore Anti-Malware di una vasta gamma di prodotti di sicurezza Microsoft, come ad esempio Microsoft Security Essentials abilitato per default all’interno dei moderni sistemi operativi Windows. La vulnerabilità è nota con l’identificativo CVE-2017-0290 ed è stata discussa dal Vendor all’interno del bollettino di sicurezza Microsoft Security Advisory 4022344.

La vulnerabilità in oggetto rappresenta un grave rischio per la sicurezza in quanto può permettere ad un attaccante remoto non autenticato di eseguire codice arbitrario sulle macchine bersaglio con gli stessi privilegi utilizzati dal servizio Anti-Malware, ottenendo così accesso illimitato al sistema vittima.  Uno dei principali aspetti critici relativi alla problematica risiede nell’enorme facilità di interazione con i servizi vulnerabili: è infatti sufficiente la ricezione un file appositamente creato attraverso canale email, la navigazione su un portale compromesso, l’interazione tramite servizi di instant messaging o la presenza del file all’interno di dischi monitorati dalle soluzioni Anti-Malware afflitte.

Siccome la vulnerabilità affligge il servizio MsMpEng (Microsoft Malware Protection Engine versioni minori di 1.1.13701.0) utilizzato in un numero elevato di soluzioni antimalware del Produttore, la superficie interessata dalla problematica risulta particolarmente ampia. Nel dettaglio risultano afflitte soluzioni di sicurezza:

• Microsoft Forefront Endpoint Protection 2010
• Microsoft Endpoint Protection
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center Endpoint Protection
• Microsoft Security Essentials
• Windows Defender for Windows 7
• Windows Defender for Windows 8.1
• Windows Defender for Windows RT 8.1
• Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
• Windows Intune Endpoint Protection

All’interno del bollettino il Produttore specifica inoltre che la problematica è stata risolta nelle versioni dell’engine di sicurezza superiori alla 1.1.13704.0. Siccome dettagli tecnici relativamente alla vulnerabilità in oggetto sono stati rilasciati pubblicamente, Yoroi consiglia caldamente di applicare con urgenza gli aggiornamenti software ai prodotti afflitti dalla criticità in uso presso le Vostre organizzazioni al fine di mitigare il rischio di compromissioni basate sullo sfruttamento della problematica indicata.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index