La última vulnerabilidad grave de Windows puso en peligro a todos los usuarios de su propio antivirus
Afortunadamente Microsoft ya ha lanzado un parche de emergencia para un exploit crítico en Windows Defender que dejaba cualquier equipo que use el antivirus oficial de la empresa en riesgo de ser víctima de un ataque remoto.
El fallo fue descubierto por los investigadores de Google Project Zero Tavis Ormandy y Natalie Silvanovich, y reportado a Microsoft. Si te suenan esos nombres, es porque forman parte del mismo equipo que indignó a Microsoft desvelando una vulnerabilidad crítica en Windows 10 y Flash sin dar apenas tiempo a solucionarlas. Esta vez Microsoft ha actuado muy rápido, en lugar de tomarse nueve meses, como con la última vulnerabilidad grave en Word.
Según el reporte de seguridad emitido por Google se trataba de un bug explotable en el servicio de protección de malware de Windows Defender que está activo por defecto en Windows 7, 8, 8.1, RT 8.1, 10 y Server 2016.
El fallo permitiría a un atacante remoto tomar control del sistema sin que el usuario tenga que intervenir, simplemente le bastaría con enviar un email o mensaje instantáneo infectado que sea escaneado por Windows Defender para usarlo como vector. O, simplemente cualquier cosa que sea escaneada por el servicio de protección antimalware.
Microsoft ya lanzó un parche y explicó en detalle cómo podía ser explotada la vulnerabilidad. Sin embargo la empresa no ha detectado hasta ahora ninguna explotación pública del fallo.
Un atacante que logrará explotar esta vulnerabilidad de forma exitosa podría ejecutar código arbitrario en el contexto de seguridad de la cuenta LocalSystem y tomar control del sistema. El atacante podría entonces instalar programas, ver, cambiar, o borrar datos; o crear nuevas cuentas de usuarios con todos los privilegios.
Para explotar la vulnerabilidad, un archivo creado espaciealmente debería ser escaneado por una versión afectada del Motor de Protección de Malware de Microsoft.
Si la versión afectada del software antimalware tiene la protección en tiempo real encendida, el motor escaneará los archivos automáticamente, llevando a la explotación de la vulnerabilidad cuando el archivo creado especialmente sea escaneado.
Sin duda algo que dará de hablar entre los que critican la validez actual de los antivirus, el cómo pueden proteger realmente a los usuarios y los peligros de que sus procesos se ejecuten con privilegios elevados.
Vía | Ars Technica UK
Más información | TechCenter de seguridad de Microsoft
En Genbeta | Exprogramador de Mozilla: «desinstala tu antivirus (salvo Windows Defender)»