Vulnerabilidad en Windows Defender pasó desapercibida durante 12 años


Solo porque un la vulnerabilidad es antigua no significa que no sea útil. Ya sea el hackeo de Adobe Flash o el exploit EternalBlue para Windows, algunos métodos son demasiado buenos para que los atacantes los abandonen, incluso si ya han pasado años. Pero un error crítico de 12 años en el omnipresente antivirus Windows Defender de Microsoft aparentemente ha sido pasado por alto por atacantes y defensores hasta hace poco. Ahora que Microsoft finalmente lo solucionó, la clave es asegurarse de que los piratas informáticos no intenten recuperar el tiempo perdido.

La falla, descubierta por investigadores de la firma de seguridad SentinelOne, apareció en un controlador que Windows Defender, rebautizado como Microsoft Defender el año pasado, usa para eliminar archivos invasivos e infraestructura que puede crear el malware. Cuando el controlador elimina un archivo malicioso, lo reemplaza con un archivo nuevo y benigno como una especie de marcador de posición durante la aplicación de parches. Pero los investigadores descubrieron que el sistema no verifica específicamente este nuevo archivo. Por lo tanto, un atacante podría insertar enlaces de sistema estratégicos que indiquen al controlador que sobrescriba el archivo incorrecto o incluso que ejecute código malicioso.

Windows Defender sería inmensamente útil para los atacantes para tal manipulación, ya que viene con Windows de forma predeterminada y, por lo tanto, está presente en cientos de millones de computadoras y servidores en todo el mundo. El programa antivirus también es altamente confiable dentro del sistema operativo, y Microsoft firma criptográficamente el controlador vulnerable para demostrar su legitimidad. En la práctica, un atacante que aproveche la falla podría eliminar software o datos cruciales, o incluso indicar al controlador que ejecute su propio código para tomar el control del dispositivo.

«Este error permite la elevación de privilegios», dice Kasif Dekel, investigador principal de seguridad de SentinelOne. «El software que se ejecuta con pocos privilegios puede elevar los privilegios administrativos y comprometer la máquina».

SentinelOne informó por primera vez del error a Microsoft a mediados de noviembre y la compañía lanzó un parche el martes. Microsoft calificó la vulnerabilidad como un riesgo «alto», aunque hay algunas advertencias importantes. La vulnerabilidad solo puede explotarse cuando un atacante ya tiene acceso (de forma remota o física) a un dispositivo de destino. Esto significa que no es una ventanilla única para los piratas informáticos y debe implementarse junto con otras vulnerabilidades en la mayoría de los escenarios de ataque. Pero seguiría siendo un objetivo atractivo para los piratas informáticos que ya tienen este acceso. Un atacante podría aprovechar haber comprometido cualquier máquina Windows para penetrar más profundamente en una red o en el dispositivo de la víctima sin tener que acceder primero a cuentas de usuarios privilegiados, como los administradores.

SentinelOne y Microsoft están de acuerdo en que no hay evidencia de que la falla haya sido descubierta y explotada antes del análisis de los investigadores. Y SentinelOne está ocultando detalles sobre cómo los atacantes podrían aprovechar la falla para dar tiempo al parche de Microsoft para proliferar. Ahora que los resultados son públicos, es solo cuestión de tiempo antes de que los malos actores descubran cómo sacar ventaja. Un portavoz de Microsoft señaló que cualquier persona que instaló el parche del 9 de febrero o activó las actualizaciones automáticas ahora está protegida.

En el mundo de los sistemas operativos de consumo, una docena de años es mucho tiempo para ocultar una mala vulnerabilidad. Y los investigadores dicen que puede haber estado presente en Windows durante más tiempo, pero su investigación estuvo limitada por el tiempo que la herramienta de seguridad VirusTotal almacena información sobre productos antivirus. En 2009, Windows Vista fue reemplazado por Windows 7 como la versión actual de Microsoft.

Artículos Recientes

Post Relacionados

Leave A Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí