Resulta que Microsoft Defender tenía su propia falla de seguridad bastante vergonzosa
Microsoft parece haber parcheado silenciosamente una vulnerabilidad de hace una década en su software antivirus de Windows a las pocas semanas de los informes iniciales.
Los primeros informes describían una falla en Microsoft Defender que permitía a un atacante ejecutar prácticamente cualquier malware, sin activar las alarmas del programa antivirus.
La falla es bastante sencilla en teoría y se enfoca en plantar malware donde Microsoft Defender no puede espiar. Algunos programas activan una alerta de falso positivo y, por lo tanto, deben excluirse del análisis. Una forma en que los usuarios de Defender pueden hacer esto es agregar ciertas ubicaciones, ya sea localmente o en una red, que están excluidas del análisis.
Cerrando las puertas
El problema con este enfoque era que el grupo "Todos" podía acceder a la clave de registro que contenía la lista de ubicaciones excluidas, lo que significaba que los usuarios locales, independientemente de sus permisos, podían acceder fácilmente a ella.
Al saber dónde no puede buscar Defender, plantar malware peligroso de repente se vuelve muy fácil.
La otra cara de la moneda es que para que se explote la falla, el actor malicioso debe tener acceso local por adelantado. Aún así, eso no importa demasiado, ya que muchos actores maliciosos que ya han comprometido ciertos puntos finales y redes pueden usar la falla para permitir un movimiento lateral sigiloso.
Sin embargo, un experto en ciberseguridad con el nombre de SecGuru_OTX ha confirmado que la vulnerabilidad ya no funciona, descubrió BleepingComputer. Poco después, Antonio Cocomazzi de SentinelOne también confirmó que el problema se solucionó con la actualización de Windows Patch Tuesday February 2022.
Mientras tanto, el analista de ciberseguridad Will Dormann de CERT/CC afirma haber detectado algunos cambios en los permisos de Windows sin ninguna actualización instalada, lo que sugiere que el cambio podría provenir del propio Microsoft Defender y no de una actualización del sistema operativo.
Se ha descubierto que la vulnerabilidad afecta a los usuarios de Windows 10 21H1 y Windows 10 21H2, pero Windows 11 es seguro.
Vía: BleepingComputer
Deja una respuesta