Esta nueva vulnerabilidad de Windows Defender permite la
escalada de privilegios, está vulnerabilidad fue encontrada por los investigadores
de SentinelOne en octubre, aunque no fue solucionado hasta el parche del 9 de
febrero.
El error el cual es identificado como CVE-2021-24092 se
encuentra en el controlador BTR.sys, siendo un controlador que forma parte del
proceso de reparación de Windows Defender, el cual elimina sistemas de archivos
y recursos de registro creados por el software maliciosos desde el modo kernel.
Al cargarse el controlador, se crea un identificador para un archivo el que
tiene el registro de las operaciones de dicho controlador. El problema reside en
la comprobación de este archivo, ya que no se comprueba de si el archivo es un enlace
o no, esto quiere decir que crear un enlace en la ubicación adecuada permitiría
eliminar programas, sobrescribir archivos arbitrarios e incluso la ejecución de
código malicioso.
Los investigadores de SentinelOne han planteado una hipótesis
de que esta vulnerabilidad habría permanecido sin descubrir tanto tiempo debido
a que el controlador no se almacena en el disco duro, sino que forma parte de
una biblioteca de vínculos dinámicos. De esta forma el antivirus Windows
Defender solo carga el controlador cuando es necesario, y una vez este ya ha
hecho su función, se borra del disco nuevamente.
La gravedad de esta importancia reside en el hecho que Windows
Defender es una aplicación que se incluye de forma predeterminada en cualquier
sistema operativo de Microsoft, activándose incluso cuando el sistema operativo
no detecta ningún software antivirus instalado. Este motivo conlleva que el
parque de máquinas vulnerables sería inmenso, aunque hay que tener en cuenta
que el atacante debería contar con acceso previo al sistema objetivo.
El error fue reportado por parte de SentinelOne a Microsoft
el 16 de noviembre de 2020. Está información ha permanecido en secreto hasta
que Microsoft ha solucionado el error en el ciclo de actualización de seguridad
este pasado martes 9 de febrero, para evitar de está forma que la
vulnerabilidad pudiese llegar a ser explotada por cibercriminales.
Los propios investigadores de SentinelOne han indicado que
no tienen evidencias que esta vulnerabilidad haya sido explotada a su análisis,
aunque si han indicado que esta vulnerabilidad ha sido confirmada en las
versiones de Windows Defender desde 2009.
