{"id":2714,"date":"2021-02-15T16:13:59","date_gmt":"2021-02-15T21:13:59","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2714"},"modified":"2021-02-15T16:21:04","modified_gmt":"2021-02-15T21:21:04","slug":"vulnerabilidad-de-12-anos-en-windows-defender-afecta-mil-millones-de-dispositivos","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/vulnerabilidad-de-12-anos-en-windows-defender-afecta-mil-millones-de-dispositivos\/","title":{"rendered":"Vulnerabilidad de 12 a\u00f1os en Windows Defender afecta mil millones de dispositivos"},"content":{"rendered":"\n

Se identific\u00f3 una vulnerabilidad de seguridad cr\u00edtica en Windows Defender<\/strong>, un componente anti-malware de Microsoft Windows que viene preinstalado con cada copia de Windows. Este n\u00famero supera los mil millones de dispositivos.<\/p>\n\n\n\n

Esta vulnerabilidad podr\u00eda permitir a los atacantes realizar ataques sofisticados al permitir la escalada maliciosa de privilegios<\/strong>.<\/p>\n\n\n\n

Lo que vale la pena se\u00f1alar es que la vulnerabilidad pas\u00f3 desapercibida durante m\u00e1s de doce a\u00f1os y solo recientemente se descubri\u00f3 por primera vez. La raz\u00f3n por la que pas\u00f3 desapercibida durante tanto tiempo fue la naturaleza muy espec\u00edfica del mecanismo requerido para activarlo. <\/p>\n\n\n\n

El equipo de SentinelOne descubri\u00f3 y report\u00f3 el error a Microsoft el 16 de noviembre de 2020. Toda la informaci\u00f3n al respecto se ha mantenido en secreto hasta que la empresa de Redmond ha lanzado el parche en su ciclo de actualizaciones de seguridad del pasado martes 9 de febrero<\/strong> para evitar que la vulnerabilidad fuese explotada por los cibercriminales.<\/p>\n\n\n\n

Detalles t\u00e9cnicos<\/strong><\/h3>\n\n\n\n

Windows Defender tiene un proceso de canje utilizado por su controlador llamado \u00abBTR.sys\u00bb. Este controlador se encarga de cualquier sistema malicioso y archivos de registro creados desde el modo kernel. Para este prop\u00f3sito, el controlador mantiene un registro de todas las operaciones realizadas por un archivo espec\u00edfico creando un identificador en \u00e9l. El problema est\u00e1 dentro del m\u00e9todo de creaci\u00f3n del identificador.<\/p>\n\n\n\n

\"\"<\/a>
Imagen obtenida de SentinelLabs<\/figcaption><\/figure>\n\n\n\n

<\/a><\/p>\n\n\n\n

Seg\u00fan una publicaci\u00f3n de blog<\/a> publicada por investigadores de Sentinel Labs, para limpiar el registro \u00abri4d\u00bb, se hizo XOR con s\u00ed mismo. Por este m\u00e9todo, la constante \u00abFILE_SUPERSEDE\u00bb siempre est\u00e1 presente en el par\u00e1metro \u00abCreateDisposition\u00bb. La transacci\u00f3n que crea el archivo despu\u00e9s de eliminar el original es \u00abFILE_SUPERSEDE\u00bb. Se puede ver en la imagen que no confirma si es un archivo o un enlace.<\/p>\n\n\n\n

De esta manera, un atacante puede crear un enlace en \u201cC: \\ Windows \\ Temp \\ BootClean.log\u201d que puede permitirle sobrescribir potencialmente archivos arbitrarios. El enlace simplemente apuntar\u00e1 al archivo que se necesita sobrescribir.<\/p>\n\n\n\n

Otro ejemplo es si se crea un v\u00ednculo f\u00edsico a un archivo ejecutable, se puede simular una carga de BTR que, por lo general, Windows Defender carga durante la fase de correcci\u00f3n. A continuaci\u00f3n, se sobrescribe este archivo ejecutable.<\/p>\n\n\n\n

Hay muchos casos de este error incluso en VirusTotal que datan de hace doce a\u00f1os. Debido al l\u00edmite de tiempo de la funci\u00f3n de b\u00fasqueda en VirusTotal, las instancias anteriores no se pudieron confirmar, pero existe la posibilidad de que haya instancias de esta vulnerabilidad antes de ese per\u00edodo.<\/p>\n\n\n\n

La ausencia de un controlador en el disco duro hasta ahora podr\u00eda ser la causa principal de que se ignore este error. En cambio, ese controlador solo se activ\u00f3 cuando se necesitaba con un nombre aleatorio y luego se elimin\u00f3. Las m\u00e1quinas m\u00e1s actualizadas est\u00e1n a salvo de esta vulnerabilidad y tambi\u00e9n de las vulnerabilidades de EoP<\/a> que son posibles a partir de enlaces f\u00edsicos<\/a> nativos.<\/p>\n\n\n\n

Hay muchos motivos para instalar otros antivirus<\/h3>\n\n\n\n

Existen algunos problemas de rendimiento<\/strong> que suelen afectar a Windows Defender frente a soluciones de terceros. Por raro que parezca, en sus pruebas, Defender apenas arroja falsos positivos<\/strong>, pero en el mundo real la situaci\u00f3n es totalmente distinta, donde es uno de los que m\u00e1s detecta; sobre todo con archivos ejecutables que intenten hacer cualquier tipo de modificaci\u00f3n en el sistema que pueda parecer sospechosa.<\/p>\n\n\n\n

A todo eso hay que sumar que el control parental<\/strong> de Windows Defender s\u00f3lo funciona en Edge, y si usamos Chrome el bloqueo no funciona. La interfaz tambi\u00e9n es complicada de usar que otras soluciones, haciendo dif\u00edcil configurar Windows Defender. Adem\u00e1s, las actualizaciones de bases de datos no se actualizan a diario como s\u00ed hacen otros antivirus. Con Defender tampoco tenemos protecci\u00f3n en p\u00e1ginas web<\/strong> ni detecta JavaScripts maliciosos, por lo que si entramos en una web peligrosa no nos la va a bloquear.<\/p>\n\n\n\n

Este \u00faltimo motivo ya de por s\u00ed es suficiente como para instalar otro antivirus<\/strong>, pero lo que s\u00ed es cierto es que si tienes cuidado con lo que visitas y descargas en Internet, Windows Defender es una soluci\u00f3n b\u00e1sica para proteger un PC en la actualidad, donde cada vez es m\u00e1s f\u00e1cil infectarse con un virus.<\/p>\n\n\n\n

\"\"<\/a>
Comparativa Windows Defender vs ESET<\/figcaption><\/figure>\n\n\n\n

Conclusi\u00f3n<\/h2>\n\n\n\n

Por supuesto, si bien parece que la vulnerabilidad no ha sido explotada, los malos actores probablemente descubrir\u00e1n c\u00f3mo aprovecharla en sistemas sin parches. Adem\u00e1s, dado que la vulnerabilidad est\u00e1 presente en todas las versiones de Windows Defender a partir de 2009, es probable que numerosos usuarios no apliquen el parche, dej\u00e1ndolos expuestos a futuros ataques. Se recomienda actualizar sus dispositivos sin m\u00e1s demora y para estar mejor protegido usar una soluci\u00f3n antimalware de terceros mas completa.<\/p>\n\n\n\n

\"\"<\/a>
Ingrese sus datos y reciba esta oferta especial dando clic Aqu\u00ed <\/a><\/strong><<<\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"

Se identific\u00f3 una vulnerabilidad de seguridad cr\u00edtica en Windows Defender, un componente anti-malware de Microsoft Windows que viene preinstalado con cada copia de Windows. Este n\u00famero supera los mil millones de dispositivos. Esta vulnerabilidad podr\u00eda permitir a los atacantes realizar ataques sofisticados al permitir la escalada maliciosa de privilegios. Lo que vale la pena se\u00f1alar es…<\/p>\n","protected":false},"author":1,"featured_media":2717,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[314,91,316],"class_list":["post-2714","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-escalar-privilegios","tag-vulnerabilidad","tag-windows-defender"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2714"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2714\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2717"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}