Microsoft parchea una vulnerabilidad despues de 12 años CVE-2021-24092 (Windows Defender)

Microsoft finalmente corrigió una falla de seguridad que afectaba a su programa antivirus Microsoft Defender, que no ha sido detectada durante 12 años. La falla, registrada como CVE-2021-24092, afecta a dispositivos lo suficientemente antiguos como para seguir ejecutando Windows 7, hasta los modelos más nuevos de Windows 10.

La vulnerabilidad permite a los actores de amenazas llevar a cabo un ataque de escalada de privilegios que podría llevar a la inserción de código malicioso en los archivos del sistema de Microsoft Defender. El error, que fue descubierto por los investigadores de seguridad SentinelOne (https://twitter.com/kasifdekel) a fines del año pasado, funciona aprovechando el hecho de que Defender reemplaza los archivos maliciosos eliminados con marcadores de posición benignos (Unos [1’s]). Sin embargo, como el sistema no verifica específicamente estos archivos nuevos, los atacantes podrían crear un sistema de enlaces que obligue a Defender a eliminar los archivos incorrectos o ejecutar archivos maliciosos.

Desde SentinelOne se ha propuesto la siguiente prueba de concepto que demostraría como eliminar un programa del sistema afectado:

Prueba de Concepto

1. Crear un enlace que apunte a notepad.exe
2. Simular la carga del controlador BTR.sys
3. Como resultado el fichero notepad.exe se sobreescribe y deja de ser un programa ejecutable.

Mitigación

Las máquinas que ejecutan una versión actualizada de Windows Defender están protegidas contra CVE-2021-24092. Las versiones recientes de Windows 10, cuando se actualizan, están protegidas contra las vulnerabilidades de EoP mediante enlaces físicos nativos.

Fuentes:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24092
• https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/