Un fallo del antivirus de Windows 10 ha estado 12 años sin parchear

Microsoft lanzó ayer el Patch Tuesday de febrero, solucionando multitud de vulnerabilidades en Windows 10. Entre ellas había varias de día cero, que permitían tanto ejecutar código remoto en nuestros ordenadores, como generar pantallazos azules. Además, han parcheado otra que llevaba al menos 12 años presente en el sistema operativo.

Así lo ha anunciado la empresa de ciberseguridad SentinelOne después de que Microsoft la parchease ayer, pudiendo compartir su existencia con más tranquilidad y sabiendo que hay una solución disponible. Eso sí, no han dado muchos detalles técnicos para dar más tiempo a que la actualización vaya llegando a más usuarios.

12 años sin parchearse: afectaba a Windows Defender

El fallo estaba presente en Windows Defender, uno de los elementos más sensibles del sistema operativo. En concreto, el fallo afecta a un controlador que usa el antivirus para eliminar archivos invasivos e infraestructura que el malware puede crear para expandirse por el ordenador, siendo esta una característica básica de cómo funciona un antivirus. Cuando el controlador elimina el archivo malicioso, lo reemplaza con otro benigno mientras elimina el malware. Sin embargo, los investigadores se dieron cuenta de que Windows Defender no verificaba ese nuevo archivo que se creaba, por lo que un atacante podía modificar el controlador de tal manera que se podía sobreescribir el archivo incorrecto o incluso ejecutar código malicioso.

Windows Defender es usado por cientos de millones de personas como antivirus de Windows 10 en todo el mundo, ya que es que el que incluye el sistema por defecto. Por ello, un fallo en él o en el controlador, que está firmado por la propia Microsoft, es realmente peligroso porque para el sistema operativo puede parecer algo legítimo y seguro, cuando en realidad no lo es. El controlador puede modificarse para eliminar software o datos, así como ejecutar su propio código con el que tomar el control total del sistema, ya que permite escalar privilegios.

Afectados usuarios incluso de Windows Vista

El fallo fue reportado a Microsoft a mediados de noviembre, y finalmente han lanzado el parche esta semana. La vulnerabilidad era considerada de alto riesgo, y sólo podía ser aprovechada por un atacante que tuviera acceso remoto o físico al ordenador. Por ello, para aprovecharla sería necesario combinarla con otra vulnerabilidad.

Según SentinelOne y Microsoft, no hay evidencias de que la vulnerabilidad haya sido aprovechada por algún atacante. No obstante, es difícil saberlo, ya que 12 años es mucho tiempo, e implica que ahora los usuarios de Windows 7 están expuestos a ella. Además, los investigadores afirman que es posible que la vulnerabilidad esté presente incluso desde hace más tiempo, pero su investigación estaba limitada a 2009, que es hasta donde llega la base de datos de antivirus de VirusTotal que usaron.

SentinelOne cree que el fallo ha tardado tanto en descubrirse porque el controlador afectado no está almacenado todo el tiempo en el ordenador. En su lugar, usa un sistema llamado «librería de enlace dinámico», cargando el driver sólo cuando se necesita, y eliminándolo después. Además, afirman que este tipo de fallos pueden estar en otros antivirus, por lo que animan a otras empresas a que comprueben si su software tiene vulnerabilidades de este tipo.

Fuente > Wired

¡Sé el primero en comentar!