Normalmente, Microsoft publica sus actualizaciones de seguridad el segundo martes de cada mes. Sin embargo, este procedimiento estándar no se aplica para el caso de Microsoft Malware Protection Engine, que obtiene su actualización de firmas de malware de manera regular.
Según Microsoft, la vulnerabilidad hace posible la ejecución remota de código aleatorio y potencialmente dañino en la cuenta del sistema local, lo que permitiría a atacantes hacerse del control del sistema intervenido. Para ello, sólo se necesitaría inducir al programa de seguridad a escanear un archivo especial, recibido por ejemplo como anexo a un correo electrónico o como parte de un sitio web maligno que el usuario ha visitado.
Difícilmente es posible encontrar vulnerabilidades más graves que esta, en particular debido a que el software de seguridad cuenta, por defecto, con grandes privilegios en el sistema en que está siendo ejecutado.
Una vulnerabilidad de este tipo es altamente valiosa para ciberdelincuentes y espías. Si hubiese sido descubierta por tales agrupaciones, lo más probable es que la hubieran explotado durante largo tiempo.
Sin embargo, la vulnerabilidad fue detectada y dada a conocer por National Cyber Security Centre (NCSC), entidad británica adscrita a GCHQ (Government Communications Headquarters), que es el equivalente a la NSA en el Reino Unido. Aunque GCHQ hubiera podido aprovechar la vulnerabilidad para su propio arsenal cibernético, la organización desempeña, mediante NCSC, una labor preventiva y de protección de los habitantes del Reino Unido frente a ataques cibernéticos.
La vulnerabilidad ya ha sido eliminada por Microsoft. Tanto NCSC como GCHQ se han negado a comentar públicamente el tema.
Recomiendan controlar la versión del software
La vulnerabilidad ha sido eliminada de Microsoft Malware Protection Engine versión 1.1.14405.2 y posteriores. En Windows 10 es posible revisar la versión del programa de seguridad accediendo a Configuración > Actualizaciones y Seguridad > Windows Defender.