martes, 16 de febrero de 2021

Una nueva vulnerabilidad de Windows Defender detectada después de 12 o más años

Vulnerabilidad en Windows Defender de 12 años

      Esta nueva vulnerabilidad de Windows Defender permite la escalada de privilegios, está vulnerabilidad fue encontrada por los investigadores de SentinelOne en octubre, aunque no fue solucionado hasta el parche del 9 de febrero.

El error el cual es identificado como CVE-2021-24092 se encuentra en el controlador BTR.sys, siendo un controlador que forma parte del proceso de reparación de Windows Defender, el cual elimina sistemas de archivos y recursos de registro creados por el software maliciosos desde el modo kernel. Al cargarse el controlador, se crea un identificador para un archivo el que tiene el registro de las operaciones de dicho controlador. El problema reside en la comprobación de este archivo, ya que no se comprueba de si el archivo es un enlace o no, esto quiere decir que crear un enlace en la ubicación adecuada permitiría eliminar programas, sobrescribir archivos arbitrarios e incluso la ejecución de código malicioso.

Los investigadores de SentinelOne han planteado una hipótesis de que esta vulnerabilidad habría permanecido sin descubrir tanto tiempo debido a que el controlador no se almacena en el disco duro, sino que forma parte de una biblioteca de vínculos dinámicos. De esta forma el antivirus Windows Defender solo carga el controlador cuando es necesario, y una vez este ya ha hecho su función, se borra del disco nuevamente.

La gravedad de esta importancia reside en el hecho que Windows Defender es una aplicación que se incluye de forma predeterminada en cualquier sistema operativo de Microsoft, activándose incluso cuando el sistema operativo no detecta ningún software antivirus instalado. Este motivo conlleva que el parque de máquinas vulnerables sería inmenso, aunque hay que tener en cuenta que el atacante debería contar con acceso previo al sistema objetivo.

El error fue reportado por parte de SentinelOne a Microsoft el 16 de noviembre de 2020. Está información ha permanecido en secreto hasta que Microsoft ha solucionado el error en el ciclo de actualización de seguridad este pasado martes 9 de febrero, para evitar de está forma que la vulnerabilidad pudiese llegar a ser explotada por cibercriminales.

Los propios investigadores de SentinelOne han indicado que no tienen evidencias que esta vulnerabilidad haya sido explotada a su análisis, aunque si han indicado que esta vulnerabilidad ha sido confirmada en las versiones de Windows Defender desde 2009.


No hay comentarios:

Publicar un comentario