Descubren una vulnerabilidad presente en Windows Defender (al menos) desde 2009

De ser aprovechada, permitiría escalar privilegios y llegar a cabo actividades maliciosas en equipos Windows.

Los usuarios de dispositivos Windows deberían aplicar cuanto antes el parche lanzado por Microsoft para su herramienta Windows Defender.

El producto de seguridad de la compañía contiene una vulnerabilidad que, de ser aprovechada, permitiría a terceros escalar privilegios y llegar a cabo actividades maliciosas, como deshabilitar este software y dejar el sistema desprotegido.

Este problema, identificado por Microsoft como CVE-2021-24092, fue descubierto por los investigadores de SentinelOne, que lo califican como “grave”. No en vano, Windows Defender llega instalado de forma predeterminada en las máquinas Windows, que se estiman en unos 1000 millones de dispositivos alrededor del mundo.

Lo más destacado es que la vulnerabilidad tiene al menos doce años de antigüedad. Las indagaciones de SentinelOne le permite confirmar que llevaba sin descubrir desde el año 2009, aunque no se descarta que sea más tiempo “debido a la naturaleza de cómo se activa”.

El error tiene que ver con el driver BTR.sys, responsable de eliminar archivos y recursos de registro creados por software malicioso, que estaba permitiendo sobrescribir archivos arbitrarios.

La buena noticia, además de que ya tiene solución, es que no hay constancia de que haya sido explotado. Desde SentinelOne llaman en todo caso a la responsabilidad.

“Aunque parece que la vulnerabilidad no ha sido explotada, los malos probablemente descubrirán cómo aprovecharla en sistemas sin parchear. Además, dado que la vulnerabilidad está presente en todas las versiones de Windows Defender a partir de 2009 aproximadamente, es probable que numerosos usuarios no apliquen el parche, dejándolos expuestos a futuros ataques”, indican.