
Microsoft parchea una vulnerabilidad despues de 12 años CVE-2021-24092 (Windows Defender)
Microsoft finalmente corrigió una falla de seguridad que afectaba a su programa antivirus Microsoft Defender, que no ha sido detectada durante 12 años. La falla, registrada como CVE-2021-24092, afecta a dispositivos lo suficientemente antiguos como para seguir ejecutando Windows 7, hasta los modelos más nuevos de Windows 10.
La vulnerabilidad permite a los actores de amenazas llevar a cabo un ataque de escalada de privilegios que podría llevar a la inserción de código malicioso en los archivos del sistema de Microsoft Defender. El error, que fue descubierto por los investigadores de seguridad SentinelOne (https://twitter.com/kasifdekel) a fines del año pasado, funciona aprovechando el hecho de que Defender reemplaza los archivos maliciosos eliminados con marcadores de posición benignos (Unos [1’s]). Sin embargo, como el sistema no verifica específicamente estos archivos nuevos, los atacantes podrían crear un sistema de enlaces que obligue a Defender a eliminar los archivos incorrectos o ejecutar archivos maliciosos.
Desde SentinelOne se ha propuesto la siguiente prueba de concepto que demostraría como eliminar un programa del sistema afectado:
Prueba de Concepto
- Crear un enlace que apunte a notepad.exe
- Simular la carga del controlador BTR.sys
- Como resultado el fichero notepad.exe se sobreescribe y deja de ser un programa ejecutable.

Mitigación
Las máquinas que ejecutan una versión actualizada de Windows Defender están protegidas contra CVE-2021-24092. Las versiones recientes de Windows 10, cuando se actualizan, están protegidas contra las vulnerabilidades de EoP mediante enlaces físicos nativos.
Fuentes: