Saltar al contenido
guitar-master

Se eliminó la peligrosa vulnerabilidad de Windows Defender después de 12 años

febrero 15, 2021

Noticias
hardware software
15 de febrero de 2021, 13:53

Se ha descubierto una vulnerabilidad en Windows Defender. Esto no sería sorprendente si no fuera por el hecho de que ha existido durante 12 años sin que nadie se dé cuenta.

EN UNA PALABRA:

  • Una peligrosa vulnerabilidad en Windows Defender estuvo sin parches durante 12 años;
  • La actualización del 9 de febrero a Windows 10 soluciona el problema.

Windows Defender es un programa de seguridad presente de forma predeterminada en Windows 10; algunos usuarios lo consideran un simple antivirus. Recientemente resultó que había una vulnerabilidad peligrosa que pasó desapercibida durante 12 años.. Tanto los atacantes potenciales como Microsoft no lo sabían. El otoño pasado fue descubierto por la empresa de seguridad SentinelOne. La vulnerabilidad fue corregida por el parche de Windows 10 de 9 de febrero, por lo que ya podemos hablar de ello en pasado.

La vulnerabilidad estaba relacionada con un archivo DLL (Dynamic-Link Library) de un controlador en Microsoft Defender. Cuando la aplicación elimina un archivo sospechoso, crea un archivo de reemplazo: un relleno de espacio que reemplaza los datos eliminados. El sistema no verifica a fondo el nuevo archivo, por lo que esto crea una oportunidad para influir en el controlador para eliminar el archivo incorrecto o incluso ejecutar código malicioso (usando los permisos de Defender). Microsoft marcó esta amenaza como «alta», por lo que podría considerarse significativa.

Lo más interesante de esto es cómo tal vulnerabilidad pudo existir desapercibida durante tantos años. Hay algunas explicaciones posibles. En primer lugar, para explotar la vulnerabilidad, se requería el acceso a la computadora, física o remota,. Entonces, alguien primero tendría que explotar otra vulnerabilidad o alcanzar el dispositivo al que desea atacar. La segunda razón podría haber sido que la vulnerabilidad era poco visible en el sistema, ya que no existía activamente en la memoria. Esto puede justificar parcialmente la omisión de tal amenaza, simplemente no era muy «atractiva» para los ciberdelincuentes.