Microsoft parchea una vulnerabilidad de Windows Defender que pasó desapercibida durante 12 años

La empresa de seguridad SentinelOne descubrió una vulnerabilidad que llevaba presente 12 años en Windows Defender, ahora conocido como Microsoft Defender. Esta vulnerabilidad se manifestaba cuando el controlador eliminaba un archivo malicioso, el cual lo sustituye por uno nuevo y benigno como una especie de marcador de posición durante la reparación.

El problema está en que los investigadores descubrieron que el sistema no verifica específicamente ese nuevo archivo. Como resultado, un atacante podría insertar enlaces estratégicos del sistema que dirigieran al controlador a sobrescribir el archivo equivocado o incluso a ejecutar código malicioso. Esto tiene una gran repercusión cuando este antivirus está presente de forma predeterminada en cientos de millones de ordenadores y servidores de todo el mundo.

"Este fallo permite una escalada de privilegios", reveló Kasif Dekel, investigador de seguridad senior de SentinelOne. "El software, que se ejecuta bajo unos privilegios de bajo nivel, puede elevarse a privilegios administrativos y comprometer la máquina".

SentinelOne informó por primera vez del fallo a Microsoft a mediados de noviembre, lo que hizo que la compañía lanzara un parche este mismo martes. Microsoft calificó la vulnerabilidad como de riesgo "alto", aunque la vulnerabilidad sólo puede ser explotada cuando un atacante ya tiene acceso

(remoto o físico) a un dispositivo objetivo. SentinelOne y Microsoft coinciden en que no hay pruebas de que el fallo se haya descubierto y explotado antes del análisis de los investigadores.

Los investigadores plantean la hipótesis de que el fallo ha permanecido oculto durante tanto tiempo porque el controlador vulnerable no se almacena en el disco duro de un ordenador a tiempo completo, como sí ocurre con los controladores de las impresoras. En su lugar, se encuentra en un sistema de Windows llamado "biblioteca de enlaces dinámicos", y Windows Defender sólo lo carga cuando es necesario. Una vez que el controlador ha terminado de funcionar, se vuelve a borrar del disco eliminando con ello la vulnerabilidad.

vía: Wired