Microsoft corrige la falla de Defender que permite a hackers eludir los análisis

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft abordó recientemente una debilidad en Microsoft Defender Antivirus en Windows que permitía a los atacantes plantar y ejecutar cargas maliciosas sin activar el motor de detección de malware de Defender.

Esta falla de seguridad afectó a las últimas versiones de Windows 10 y los atacantes de amenazas podrían abusar de ella desde al menos 2014.

La falla se debió a una configuración de seguridad laxa para la clave de registro "HKLM\Software\Microsoft\Windows Defender\Exclusions". Esta clave contiene la lista de ubicaciones (archivos, carpetas, extensiones o procesos) excluidas del análisis de Microsoft Defender.

La explotación de la debilidad fue posible porque el grupo 'Everyone' podía acceder a la clave del Registro, como se muestra en la imagen a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto hizo posible que los usuarios locales (independientemente de sus permisos) accedieran a través de la línea de comandos consultando el Registro de Windows.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El experto en seguridad Nathan McNulty también advirtió que los usuarios también podrían obtener la lista de exclusiones de los árboles de registro con entradas que almacenan la configuración de la Política de grupo, que es información mucho más confidencial ya que proporciona exclusiones para varias computadoras en un dominio de Windows.

Después de averiguar qué carpetas se agregaron a la lista de exclusión del antivirus, los atacantes podrían entregar y ejecutar malware desde una carpeta excluida en un sistema Windows comprometido sin tener que temer que su carga maliciosa sea detectada y neutralizada.

Al explotar esta debilidad, podría ejecutar una muestra del ransomware Conti desde una carpeta excluida y cifrar un sistema Windows sin advertencias ni signos de detección por parte de Microsoft Defender.

Debilidad de seguridad abordada silenciosamente por Microsoft

Esto ya no es posible dado que Microsoft ahora ha abordado la debilidad a través de una actualización silenciosa, como lo detectó el jueves el experto en seguridad holandés SecGuru_OTX.

El investigador de amenazas de SentinelOne, Antonio Cocomazzi, confirmó que la falla ya no se puede usar en los sistemas Windows 10 20H2 después de instalar las actualizaciones de Windows del martes de parches de febrero de 2022.

Algunos usuarios están viendo el nuevo cambio de permiso después de instalar las actualizaciones acumulativas de Windows del martes de parches de febrero de 2022.

Por otro lado, Will Dormann, analista de vulnerabilidades de CERT/CC, señaló que recibió el cambio de permisos sin instalar ninguna actualización, lo que indica que el cambio podría ser agregado tanto por las actualizaciones de Windows como por las actualizaciones de inteligencia de seguridad de Microsoft Defender.

Como se pudo confirmar hoy, los permisos en la configuración de seguridad avanzada de Windows para las exclusiones de Defender se han actualizado, con el grupo 'Todos' eliminado de los permisos de la clave del Registro.

En los sistemas Windows 10 donde ya se implementó este cambio, ahora se requiere que los usuarios tengan privilegios de administrador para poder acceder a la lista de exclusiones a través de la línea de comando o al agregarlas usando la pantalla de configuración de Seguridad de Windows.

El cambio se implementó, pero, por el momento, solo Microsoft sabe cómo se introdujo en los sistemas Windows 10 afectados (a través de actualizaciones de Windows, actualizaciones de inteligencia de Defender u otros medios).

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta