February 16, 2021 Sin comentarios

Vulnerabilidad en Windows Defender de 12 years

Esta nueva vulnerabilidad de Windows Defender permite la
escalada de privilegios, está vulnerabilidad fue encontrada por los investigadores
de SentinelOne en octubre, aunque no fue solucionado hasta el parche del 9 of
febrero.

El error el cual es identificado como CVE-2021-24092 se
encuentra en el controlador BTR.sys, siendo un controlador que forma parte del
proceso de reparación de Windows Defender, el cual elimina sistemas de archivos
y recursos de registro creados por el software maliciosos desde el modo kernel.
Al cargarse el controlador, se crea un identificador para un archivo el que
tiene el registro de las operaciones de dicho controlador. El problema reside en
la comprobación de este archivo, ya que no se comprueba de si el archivo es un enlace
or not, esto quiere decir que crear un enlace en la ubicación adecuada permitiría
eliminar programas, sobrescribir archivos arbitrarios e incluso la ejecución de
código malicioso.

Los investigadores de SentinelOne han planteado una hipótesis
de que esta vulnerabilidad habría permanecido sin descubrir tanto tiempo debido
a que el controlador no se almacena en el disco duro, sino que forma parte de
una biblioteca de vínculos dinámicos. De esta forma el antivirus Windows
Defender solo carga el controlador cuando es necesario, y una vez este ya ha
hecho su función, se borra del disco nuevamente.

La gravedad de esta importancia reside en el hecho que Windows
Defender is an application that is included by default in any
Microsoft operating system, activating even when the operating system
does not detect any antivirus software installed. This reason implies that the
number of vulnerable machines would be immense, although it must be taken into account
that the attacker would need prior access to the target system.

The error was reported by SentinelOne to Microsoft
the 16 November. 2020. This information remained secret until
Microsoft fixed the error in the security update cycle
this past Tuesday 9 de febrero, to prevent in this way that the
vulnerability could be exploited by cybercriminals.

The SentinelOne researchers themselves have indicated that
no tienen evidencias que esta vulnerabilidad haya sido explotada a su análisis,
aunque si han indicado que esta vulnerabilidad ha sido confirmada en las
versiones de Windows Defender desde 2009.

Leave a Reply

Your email address will not be published. Required fields are marked *

More news
Atacan un centro de investigación nuclear en Polonia
Read more »
A cybercriminal manages to use AI to steal data from the Mexican Government
Read more »
Intec creates an AI that redefines the rules of the game in cybersecurity in the AI era.
Read more »
Una exfiltración de datos afecta a un proveedor de Adidas
Read more »
Se incrementan un 26% los incidentes de ciberseguridad
Read more »