Tener el mejor antivirus Windows 10 suele significar que nuestro equipo está protegido ante la práctica totalidad de los virus, troyanos y malware que abunda por Internet. Sin embargo, este puede no funcionar con amenazas muy recientes, pero también puede fallarnos si deshabilitamos la protección en tiempo real. Evidentemente, esto es algo que no vamos a hacer de forma manual y voluntaria, pero sí es posible aprovechando fallos de seguridad del sistema operativo. En este caso, sabemos que tu antivirus no te protegerá por un fallo en la tienda de Windows, concretamente con el archivo wsreset.exe. Os lo contamos todo tras el salto.
Microsoft lanzó en julio el segundo parche de seguridad más grande de su historia con 123 problemas de seguridad solucionados. El más grande se lanzó en enero de este año y solucionaba 129 fallos de seguridad. No obstante, esto no evita que puedan localizarse nuevos problemas de seguridad. Normalmente, se le otorga a los de Redmond (y al resto de empresas), 90 días para solucionarlos antes de hacerlos públicos. Uno de los últimos está relacionado con la tienda de aplicaciones.
¿Qué es wsreset.exe y qué hace con el antivirus?
El investigador de seguridad Daniel Gebert ha descubierto que se puede “abusar” de wsreset.exe para borrar archivos aleatorios del sistema operativo. Este ejecutable funciona con privilegios elevados en Windows 10 debido a que actúa sobre los ajustes del sistema. En este caso, se trata de una herramienta de la tienda de aplicaciones que resetea todos los ajustes y contenido almacenado sin borrar aplicaciones o cuentas de usuario.
A la hora de crear archivos temporales y cookies, la tienda de aplicaciones lo hace en estas dos localizaciones:
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies
El ataque empieza borrado la carpeta INetCookies y “enlazándola” con una localización privilegiada del sistema. En el ejemplo que se nos muestra, con “C:WindowsSystem32driversetc”. Ahora, cuando ejecutamos la herramienta wsreset.exe, esta elimina el contenido de System32 en lugar del de INetCookies. Esto permite saltarse la protección del antivirus como veremos ahora.
En el ejemplo nos cuentan que el antivirus Adaware guarda su configuración en “C:ProgramDataadawareadaware antivirus”. Los usuarios “normales” no pueden borrar esta carpeta, pero sí podemos hacer el “truco” anterior para que wsreset.exe se encargue de todo. Al reiniciar el sistema de nuevo, el antivirus se ha desactivado de forma permanente y ya no escaneará las amenazas en tiempo real.
Como vemos, se nos ha mostrado un ejemplo para borrar carpetas del sistema operativo o desactivar el antivirus, pero el problema de seguridad de wsreset.exe puede permitir muchas otras “maldades”. Entre ellas, podríamos incluso saltarnos el UAC o Control de cuentas de usuario.
¿Cuánto tardará Microsoft en solucionar el problema?