Microsoft ha anunciado la corrección de una vulnerabilidad en Windows Defender / Microsoft Defender que permitía a los potenciales atacantes obtener permisos de administrador en sistemas Windows.
Pero lo que distingue a esta vulnerabilidad en cuestión (conocida como CVE-2021-24092) es que llevaba presente nada menos que desde 2009, afectando por tanto a las versiones de Windows (tanto de cliente como de servidor) a partir de Windows 7.
Pero CVE-2021-24092 no afecta únicamente al antivirus de Microsoft (instalado, recordemos, por defecto en Windows), sino también a otros productos de seguridad de la compañía que hacen uso del Malware Protection Engine: Microsoft Endpoint Protection, Microsoft Security Essentials, etc.
Una vulnerabilidad no explotada... hasta ahora
Concretamente, la vulnerabilidad residía en un driver denominado BTR.sys (siglas de Boot Time Removal Tool), usado por Windows durante el proceso de reparación del sistema de archivos y/o de entradas del Registro tras la detección de malware en un equipo.
Y eso es, precisamente, lo que explica que esta vulnerabilidad haya permanecido tanto tiempo sin ser detectada.
Según explica un informe publicado ayer por SentinelOne (la compañía que localizó la vulnerabilidad en noviembre del año pasado e informó de la misma a Microsoft):
"Antes de ser corregida, la vulnerabilidad permaneció oculta durante 12 años, posiblemente debido a la naturaleza del mecanismo específico que permite activarla:
[...] el controlador normalmente no está presente en el disco duro, sino que se activa cuando es necesario (con un nombre aleatorio) y luego se elimina".
Desde Redmond afirman que la actualización de seguridad se instalará automáticamente en aquellos sistemas que ejecutan versiones vulnerables de Defender, siempre y cuando se habiliten las actualizaciones automáticas.
Sin embargo, los usuarios de Windows 7, carentes ya de soporte oficial por parte de la compañía, seguirán expuestos a este agujero de seguridad. Y es que, como explican desde SentinelOne,
"aunque parece que la vulnerabilidad no ha sido explotada, los actores malintencionados probablemente descubrirán cómo aprovecharla en sistemas no parcheados".
Vía | Bleeping Computer
Ver 7 comentarios