Una vulnerabilidad de Windows Defender permaneció sin ser detectada durante 12 años

Rubén Castro, 18 febrero 2021

Aunque ya se han acabado las ofertas de navidad, en Cecotec (gran marca española de gadgets y pequeño electrodoméstico) están tirando la casa por la ventana y tienen ofertas en todos sus productos de más del 60%. ¡Corre que vuelan!

Quiero ver las mejores ofertas de Cecotec

Un error crítico en Windows Defender pasó desapercibido tanto para los atacantes como para los defensores durante unos 12 años, antes de ser finalmente parcheado el pasado otoño. La vulnerabilidad del software antivirus integrado de Microsoft podría haber permitido a los piratas, si hubiesen detectado el fallo, sobrescribir archivos o ejecutar código malicioso.

Parte de la razón podría ser que el fallo en cuestión no se encuenta en el almacenamiento de un ordenador, sino que existe en un sistema “biblioteca de enlaces dinámicos” de Windows. Windows Defender solo carga este controlador cuando es necesario, antes de borrarlo del disco del ordenador.

Cuando el controlador elimina un archivo malicioso, lo sustituye por uno nuevo y benigno como una especie de marcador de posición durante la reparación. Pero los investigadores descubrieron que el sistema no verifica específicamente ese nuevo archivo. Como resultado, un atacante podría insertar enlaces estratégicos del sistema que dirigieran al controlador a sobrescribir el archivo equivocado o incluso a ejecutar código malicioso”.

Los investigadores de la empresa de seguridad SentinelOne descubrieron y comunicaron el fallo el pasado otoño, que fue posteriormente parcheado.

En un principio, Microsoft calificó la vulnerabilidad como de alto riego, aunque cabe destacar que para que un atacante se aproveche del fallo, necesitaría tener acceso -físico o remoto- a su ordenador. Con toda probabilidad, esto significa que probablemente habría que desplegar otros exploits.

Tanto Microsoft como SentinelOne están de acuerdo en que no hay pruebas de que el fallo, ya parcheado, haya sido explotado de forma maliciosa. Además, SentinelOne se guarda los detalles de la vulnerabilidad para evitar que los hackers se aprovechen del fallo mientras se aplica el parche.

Un portavoz de Microsoft dijo que cualquiera que haya instalado el parche del 9 de febrero, ya sea manualmente o mediante actualizaciones automáticas, está protegido.

Fuentes

  1. wired.com
Ver más
WikiVersus puede usar cookies para recopilar estadísticas, optimizar la funcionalidad del sitio y ofrecerte publicidad basada en tus intereses. Si sigues navegando estarás aceptando su uso. Más información de nuestras políticas.