Un error en el antivirus Windows 10 Defender lleva 12 años sin solucionarse.
Microsoft lanzó ayer martes el parche de febrero, solucionando multitud de vulnerabilidades en Windows 10. Entre ellas se encontraban varias vulnerabilidades de día cero, que permitían tanto ejecutar código remoto en nuestros ordenadores, como generar pantallazos azules. Además, han parcheado otro que llevaba presente en el sistema operativo al menos 12 años.
Así lo ha anunciado la empresa de ciberseguridad SentinelOne después de que Microsoft lo parcheara ayer, pudiendo compartir su existencia con más tranquilidad y sabiendo que hay una solución disponible. Sin embargo, no han dado muchos detalles técnicos para dar más tiempo a que la actualización llegue a más usuarios.
Windows Defender se ha visto afectado por el error y estuvo 12 años sin parchear
El error estaba presente en Windows Defender, uno de los elementos más sensibles del sistema operativo. En concreto, la falla afecta a un controlador utilizado por el antivirus para eliminar archivos e infraestructura invasivos que el malware puede crear para propagarse por el ordenador, siendo esta una característica básica del funcionamiento de un antivirus. Cuando el controlador elimina el archivo malicioso, lo reemplaza por uno benigno mientras elimina el malware. Sin embargo, los investigadores se dieron cuenta de que Windows Defender no verificaba ese nuevo archivo que se creaba, por lo que un atacante podría modificar el controlador de tal manera que se pudiera sobrescribir el archivo incorrecto o incluso ejecutar código malicioso.
Windows Defender es utilizado por cientos de millones de personas como el antivirus de Windows 10 en todo el mundo ya que es el que viene incluido en el sistema por defecto. Por tanto, un fallo en el mismo o en el controlador, firmado por la propia Microsoft, es peligroso porque para el sistema operativo puede parecer algo legítimo y seguro, cuando en realidad no lo es. El controlador se puede modificar para eliminar software o datos, así como ejecutar su código para tomar el control total del sistema, ya que permite aumentar los privilegios.
Incluso los usuarios de Windows Vista se ven afectados
La falla se informó a Microsoft a mediados de noviembre y finalmente lanzaron el parche esta semana. La vulnerabilidad se consideró de alto riesgo y solo podría ser explotada por un atacante con acceso remoto o físico a la computadora. Por tanto, para explotarla sería necesario combinarla con otra vulnerabilidad.
Según SentinelOne y Microsoft, no hay evidencia de que un atacante haya aprovechado la vulnerabilidad. Sin embargo, es difícil saberlo, ya que 12 años es mucho tiempo e implica que los usuarios de Windows 7 ahora están expuestos a ello. Además, los investigadores afirman que la vulnerabilidad puede haber estado presente incluso más tiempo, pero su investigación se limitó a 2009, que se remonta a la base de datos antivirus VirusTotal que utilizaron.
SentinelOne cree que el fallo ha tardado tanto en descubrirse porque el controlador afectado no está almacenado en el ordenador todo el tiempo. En su lugar, utiliza un sistema llamado “biblioteca de vínculos dinámicos”, que carga el controlador sólo cuando es necesario y lo elimina después. Además, afirman que este tipo de fallas pueden encontrarse en otro software antivirus, por lo que alientan a otras empresas a verificar su software en busca de tales vulnerabilidades.
