Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Documento informativo sobre seguridad de Microsoft (2491888)

Una vulnerabilidad en el motor de protección contra malware de Microsoft podría permitir la elevación de privilegios

Publicado: 23 de febrero de 2011

Versión: 1.0

Información general

Resumen ejecutivo

Microsoft publica este documento informativo sobre seguridad para ayudar a los clientes a asegurarse de que tienen constancia de que una actualización en el motor de protección contra malware de Microsoft también corrige una vulnerabilidad de seguridad comunicada a Microsoft. La actualización corrige una vulnerabilidad de la que se ha informado de forma privada que podría permitir la elevación de privilegios si el motor de protección contra malware de Microsoft explora un sistema después de que un atacante con credenciales de inicio de sesión válidas haya creado una clave del Registro especialmente diseñada. Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que la cuenta LocalSystem. Usuarios remotos no pueden aprovechar esta vulnerabilidad.

Debido a que el motor de protección contra malware de Microsoft forma parte de varios productos antimalware de Microsoft, la actualización del motor se instala junto con las definiciones de malware actualizadas para los productos afectados. Los administradores de instalaciones empresariales deben seguir sus procesos internos establecidos para asegurarse de que las actualizaciones de definiciones y de motor están aprobadas en su software de administración de actualizaciones, y de que los clientes consumen las actualizaciones en consecuencia.

Normalmente, no se requiere ninguna acción de los administradores de empresa o de los usuarios finales para instalar esta actualización, porque el mecanismo integrado para la detección e implementación automáticas de esta actualización la aplicará en las próximas 48 horas. El intervalo temporal exacto depende del software usado, la conexión a Internet y la configuración de la infraestructura.

Detalles del documento informativo

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

ReferenciasIdentificación

Referencia CVE

CVE-2011-0037

Última versión del motor de protección contra malware de Microsoft afectada por esta vulnerabilidad

Versión 1.1.6502.0*

Primera versión del motor de protección contra malware de Microsoft con esta vulnerabilidad corregida

Versión 1.1.6603.0**

*Esta versión es la última del motor de protección contra malware de Microsoft que está afectada por la vulnerabilidad.

**Si su versión del motor de protección contra malware de Microsoft es igual o superior a esta versión, no está afectado por la vulnerabilidad y no debe realizar ninguna acción. Para obtener más información acerca de cómo comprobar el número de versión del motor, vea la sección "Comprobación de la instalación de la actualización", en el artículo 2510781 de Microsoft Knowledge Base.

Software afectado y clasificaciones de gravedad

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, visite Ciclo de vida del soporte técnico de Microsoft.

El motor de protección contra malware de Microsoft es un componente de varios productos antimalware de Microsoft. Según el producto antimalware de Microsoft afectado que esté instalado, esta actualización puede tener distintas clasificaciones de gravedad. En las siguientes clasificaciones de gravedad se supone la máxima repercusión posible de la vulnerabilidad.

Software afectado

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado
Software antimalwareVulnerabilidad del motor de protección contra malware de Microsoft (CVE-2011-0037)

Windows Live OneCare

Importante 
Elevación de privilegios

Microsoft Security Essentials

Importante 
Elevación de privilegios

Microsoft Windows Defender

Importante 
Elevación de privilegios

Microsoft Forefront Client Security

Importante 
Elevación de privilegios

Microsoft Forefront Endpoint Protection 2010

Importante 
Elevación de privilegios

Herramienta de eliminación de software malintencionado de Microsoft

Importante 
Elevación de privilegios

Software no afectado

Software antimalware

Microsoft Antigen para Exchange

Microsoft Antigen para puerta de enlace SMTP

Forefront Protection 2010 para Exchange Server

Forefront Threat Management Gateway 2010

Microsoft Forefront Security para SharePoint

Forefront Security para Office Communications Server

Microsoft Standalone System Sweeper (parte de Microsoft Diagnostics and Recovery Toolset)

Índice de explotabilidad

La siguiente tabla proporciona una evaluación de explotabilidad de la vulnerabilidad tratada en este documento informativo.

¿Cómo se usa esta tabla?

Use esta tabla para obtener información acerca de la probabilidad de que se publique código funcional que aproveche la vulnerabilidad en el plazo de 30 días desde la publicación del documento informativo. Debe revisar la evaluación siguiente, según su configuración específica, con el fin de asignar prioridades a la implementación. Para obtener más información acerca de lo que significan estas clasificaciones y cómo se determinan, vea el índice de explotabilidad de Microsoft.

Título de vulnerabilidadIdentificador CVEEvaluación de índice de explotabilidadNotas clave

Vulnerabilidad del motor de protección contra malware de Microsoft

CVE-2011-0037

1 - Bastante probabilidad de código que aproveche la vulnerabilidad

Se trata de una vulnerabilidad de elevación de privilegios

Preguntas más frecuentes (P+F) acerca de este documento informativo

¿Microsoft va a publicar un boletín de seguridad para corregir esta vulnerabilidad?  
No. Microsoft publica este documento informativo sobre seguridad para ayudar a los clientes a asegurarse de que tienen constancia de que esta actualización del motor de protección contra malware de Microsoft también corrige una vulnerabilidad de seguridad comunicada a Microsoft.

Normalmente, no se requiere ninguna acción de los administradores de empresa o de los usuarios finales para instalar esta actualización.

¿Por qué normalmente no se requiere ninguna acción para instalar esta actualización?  
Como respuesta al panorama de amenazas en constante cambio, Microsoft actualiza con frecuencia las definiciones de malware y el motor de protección contra malware de Microsoft. Para que sea eficaz en la protección contra amenazas nuevas y habituales, el software antimalware tiene que estar actualizado con estas actualizaciones de un modo oportuno.

Para las implementaciones de empresa, así como para usuarios finales, la configuración predeterminada del software antimalware de Microsoft contribuye a garantizar que las definiciones de malware y el motor de protección contra malware de Microsoft se actualizan automáticamente. La documentación del producto también recomienda que los productos se configuren para la actualización automática.

Los procedimientos recomendados aconsejan que los clientes comprueben periódicamente si la distribución de software, como la implementación automática de las actualizaciones del motor de protección contra malware de Microsoft y las definiciones de malware, funciona del modo previsto en su entorno.

¿Con qué frecuencia se actualizan el motor de protección contra malware de Microsoft y las definiciones de malware?  
Microsoft normalmente publica una actualización del motor de protección contra malware de Microsoft una vez al mes o según sea necesario como protección contra nuevas amenazas. Microsoft también actualiza normalmente las definiciones de malware tres veces al día y puede aumentar la frecuencia cuando sea necesario.

En función del software antimalware de Microsoft que se use y el modo en que está configurado, el software puede buscar actualizaciones del motor y de las definiciones cada día al conectarse a Internet, hasta varias veces al día. Los clientes también pueden optar por buscar manualmente actualizaciones en cualquier momento.

¿Cómo puedo instalar la actualización?  
Los administradores de instalaciones empresariales deben seguir sus procesos internos establecidos para asegurarse de que las actualizaciones de definiciones y de motor están aprobadas en su software de administración de actualizaciones, y de que los clientes consumen las actualizaciones en consecuencia.

Para obtener más información acerca de cómo instalar las definiciones más recientes, vaya a Centro de protección contra malware de Microsoft o consulte la documentación del producto.

En el caso de los usuarios finales, no es necesario realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente mediante las actualizaciones automáticas o a través de su software antimalware. Para obtener información acerca de cómo configurar el software antimalware, consulte la documentación del producto.

Los usuarios finales que deseen instalar esta actualización manualmente, deben consultar la tabla siguiente.

Nota Las actualizaciones disponibles mediante Microsoft Update se enumerarán como importantes. Busque la actualización adecuada para el software con un nombre similar al del ejemplo indicado entre paréntesis () en la tabla siguiente.  

SoftwareMecanismo de actualizaciónOtros métodos de actualización

Microsoft Security Essentials

Microsoft Update

Cómo se descargan manualmente las actualizaciones de definiciones más recientes para Microsoft Security Essentials

Microsoft Windows Defender

Windows Update

Instalar las actualizaciones de definiciones de Windows Defender más recientes

Microsoft Forefront Client Security

Microsoft Update

Instalar las actualizaciones de definiciones de Microsoft Forefront Security más recientes

Microsoft Forefront Endpoint Protection 2010

Microsoft Update
(Ejemplo: "Actualización de definiciones para Microsoft Forefront Endpoint Protection 2010")

Instalar las actualizaciones de definiciones de Microsoft Forefront Security más recientes

Herramienta de eliminación de software malintencionado de Microsoft

Disponible el martes, 8 de marzo de 2011

(Ninguna)

Nota Para obtener información adicional acerca la implementación de esta actualización para productos de antimalware de Microsoft específicos Microsoft, consulte el artículo 2510781 de Microsoft Knowledge Base.

¿Qué es el motor de protección contra malware de Microsoft?  
El motor de protección contra malware de Microsoft, mpengine.dll, proporciona capacidades de análisis, detección y limpieza para el software antivirus y contra spyware de Microsoft: Para obtener más información, vea la sección Implementación del motor de protección contra malware de Microsoft, más adelante en este documento informativo.

¿Dónde puedo obtener más información acerca de la tecnología antimalware de Microsoft?  
Para obtener más información, vaya al sitio web del Centro de protección contra malware de Microsoft.

¿Por qué no aparece ISA Server en la lista de software afectado o no o afectado?  
Aunque Microsoft Internet Security and Acceleration (ISA) Server es el antecesor de Forefront Threat Management Gateway 2010 (TMG), ISA Server no contiene el motor de protección contra malware de Microsoft, y por ese motivo no se incluye en este documento informativo. El análisis de malware mediante el motor de protección contra malware de Microsoft se incluyó por primera vez en Forefront TMG. Para obtener más información acerca de las nuevas características de Forefront TMG, vea la página de novedades de Forefront Threat Management Gateway 2010.

¿Por qué no hay disponible una actualización para la Herramienta de eliminación de software malintencionado (MSRT) en estos momentos?  
La vulnerabilidad solo se puede aprovechar a través de MSRT cuando MSRT se ofrece y se descarga mediante Actualizaciones automáticas, momento en el que MSRT se ejecuta una sola vez. Un atacante no puede aprovechar esta vulnerabilidad si MSRT se ejecuta manualmente. Microsoft tiene previsto publicar una versión actualizada para corregir el problema en la Herramienta de eliminación de software malintencionado el martes, 8 de marzo de 2011.

Preguntas más frecuentes sobre la vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2011-0037)

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que el motor de protección contra malware de Microsoft no procesa correctamente una clave del Registro que un atacante ha configurado en un valor especialmente diseñado.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta LocalSystem y tomar el control completo del sistema. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Qué es la cuenta LocalSystem?  
La cuenta LocalSystem es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios amplios en el equipo local y actúa como el equipo en la red. Su testigo incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad del Administrador de control de servicios. La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Para obtener más información, vea el artículo de MSDN Cuenta LocalService.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad requiere que se analice una ubicación del Registro especialmente diseñada mediante una versión afectada del motor de protección contra malware de Microsoft. Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en el sistema y, a continuación, establecer una clave del Registro de usuario en un valor especialmente diseñado.

Si el software antimalware afectado tiene activada la protección en tiempo real, el motor de protección contra malware de Microsoft analizará la ubicación automáticamente, lo que conllevará que se aproveche la vulnerabilidad y el atacante podrá tomar el control completo del sistema afectado. Si no está habilitado el análisis en tiempo real, el atacante tendría que esperar hasta que se produzca un análisis programado para que se aproveche la vulnerabilidad y tomar el control completo del sistema afectado. El atacante no podría aprovechar la vulnerabilidad si inicia un análisis manualmente.

Además, la vulnerabilidad se podría aprovechar cuando el sistema se analice con una versión afectada de la Herramienta de eliminación de software malintencionado (MSRT). No obstante, si la versión actual de MSRT ya se ha ejecutado en el sistema, el atacante, no podría usar MSRT para aprovechar esta vulnerabilidad.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga los suficientes permisos administrativos tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al modificar la manera en que el motor de protección contra malware de Microsoft procesa los valores leídos del Registro.

En el momento de publicar este documento informativo sobre seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este documento informativo sobre seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
No. En el momento de publicar este documento informativo sobre seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Factores atenuantes y acciones sugeridas

Factores atenuantes

El factor atenuante hace referencia a una opción, configuración común o procedimiento recomendado general, existente en un estado predeterminado, que podría reducir la gravedad de este problema. Los siguientes factores atenuantes podrían ser útiles en su situación:

Para aprovechar este punto vulnerable, el usuario debe de tener unas credenciales de inicio de sesión válidas. Usuarios remotos no pueden aprovechar esta vulnerabilidad.

Un atacante podría aprovechar la Herramienta de eliminación de software malintencionado (MSRT) para aprovechar esta vulnerabilidad únicamente si MSRT no se ha ejecutado todavía en el sistema. Para la mayoría de los usuarios finales, la versión actual de MSRT ya se ha descargado y se ha ejecutado automáticamente mediante las actualizaciones automáticas.

Acciones recomendadas

Normalmente, no se requiere ninguna acción de los administradores de empresa o de los usuarios finales para instalar esta actualización. Microsoft recomienda que los clientes mantengan actualizadas las definiciones de malware en todo momento. Los clientes deben comprobar que la versión más reciente del motor de protección contra malware de Microsoft y las actualizaciones de definiciones se han descargado e instalado activamente para sus productos antimalware de Microsoft.

Los administradores de las implementaciones de antimalware de empresa deben asegurarse de que su software de administración de actualizaciones está configurado para aprobar y distribuir automáticamente las actualizaciones de motor y las nuevas definiciones de malware. Los administradores de empresa también deben comprobar que la versión más reciente del motor de protección contra malware de Microsoft y las actualizaciones de definiciones se han descargado, aprobado e implementado de forma activa en su entorno.

En el caso de los usuarios finales, el software afectado proporciona mecanismos integrados para la detección e implementación automáticas de esta actualización. Para estos clientes, la actualización se aplicará en el plazo de 48 horas desde su disponibilidad. El intervalo temporal exacto depende del software usado, la conexión a Internet y la configuración de la infraestructura. Los usuarios finales que no deseen esperar, pueden actualización manualmente su software antimalware.

Para obtener más información acerca de cómo actualizar manualmente el motor de protección contra malware y las definiciones de malware, consulte el artículo 2510781 de Microsoft Knowledge, o la sección Preguntas más frecuentes (P+F) acerca de este documento informativo.

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Cesar Cerrudo, de Argeniss, por informar de la vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2011-0037)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.

Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (23 de febrero de 2011): Publicación del documento informativo.



©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft