- El software antivirus Defender de Microsoft tiene una falla que podría permitir a los piratas informáticos ejecutar código malicioso en PC con Windows vulnerables.
- Durante al menos ocho años, este problema ha afectado a Windows 10 21H1 y Windows 10 21H2; sin embargo, no fue hasta hace poco que se descubrió e identificó.
- El virus permite a los piratas informáticos almacenar programas maliciosos en áreas no rutinarias de la computadora, lo que les permite eludir los análisis antivirus.
Un atacante puede aprovechar una debilidad en la función antivirus de Microsoft Defender para plantar malware en ubicaciones que Windows Defender excluye del análisis.
El problema ha existido durante al menos ocho años, aunque solo recientemente se identificó y afecta a Windows 10 21H1 y Windows 10 21H2.
Agregar ubicaciones
Microsoft Defender puede excluir ubicaciones específicas en su computadora del análisis, para asegurarse de que las áreas que contienen información importante no se dañen inadvertidamente por un análisis antivirus.
Hay muchas aplicaciones de software legítimas que, por diversas razones, los programas antivirus identifican erróneamente como malware y, por lo tanto, ponen en cuarentena o bloquean el acceso a una computadora.
Si un usuario incluye un nombre de usuario en su lista de excepciones, podría dar a un atacante información útil sobre el sistema. Les permite almacenar archivos maliciosos en áreas de la computadora que no se buscan durante un análisis de rutina.
Los investigadores de seguridad descubrieron que el software de seguridad Defender de Microsoft excluye una lista de ubicaciones peligrosas del análisis, pero que cualquier usuario local puede acceder a ella.
Cobertura comprometida
Aunque Windows Defender puede verificar si hay malware y archivos peligrosos en el registro, los usuarios locales pueden consultar el registro para determinar qué rutas no puede verificar.
Antonio Cocomazzi, el investigador de amenazas al que se atribuye el descubrimiento de la vulnerabilidad RemotePotato0, señala que no hay seguridad para esta información.
Aunque Microsoft Defender no escanea todo, su comando de "consulta de registro" revela lo que el programa tiene instrucciones de no escanear, incluidos archivos, carpetas, extensiones y procesos.
Otro experto en seguridad de Windows, Nathan McNulty, dice que el problema solo está presente en las versiones 21H1 y 21H2 de Windows 10, pero no afectará a Windows 11.
Configuración de directiva de grupo
Otra forma de obtener la configuración de la directiva de grupo es tomar la lista de exclusiones del registro. Esta información proporciona detalles sobre lo que se excluye y es más confidencial que simplemente enumerar qué configuraciones están activas en una computadora en particular.
Microsoft recomienda que deshabilite las exclusiones automáticas en defensor de Microsoft cuando la plataforma del servidor no está dedicada a la pila de Microsoft, dice McNulty. Si un servidor ejecuta un software que no es de Microsoft, debe permitir que Defender analice ubicaciones arbitrarias.
Aunque un atacante con acceso local puede obtener la lista de exclusiones de Microsoft Defender, este es un pequeño desafío que superar.
Cuando una red corporativa ya está comprometida, los atacantes a menudo buscan formas de moverse utilizando herramientas menos notorias.
Análisis completo
Microsoft Defender permite la exclusión de ciertas carpetas para evitar que el antivirus analice archivos en esas ubicaciones. El autor del malware puede almacenar y ejecutar archivos infectados desde esas carpetas sin ser detectado.
Un consultor senior de seguridad dice que notó el problema por primera vez hace unos ocho años e inmediatamente comprendió su potencial para un uso malicioso.
“Siempre me dije a mí mismo que si fuera algún tipo de desarrollador de malware, buscaría las exclusiones de WD y me aseguraría de suelte mi carga útil en una carpeta excluida y / o asígnele el mismo nombre que un nombre de archivo o extensión excluidos ", explicó Aura.
Si es administrador de red de un entorno de Microsoft, consulte la documentación de Microsoft para información sobre cómo excluir el programa Defender de la exploración y ejecución en todos sus servidores y local máquinas.
¿Cuáles son sus principales preocupaciones acerca de la laguna que ofrece a los piratas informáticos la oportunidad de eludir Microsoft Defender? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.
