- Microsoft agregó una nueva función a la configuración predeterminada de Windows Defender que permite a los atacantes leer la lista de exclusión en un sistema de destino.
- Microsoft anunció el lanzamiento de una actualización de seguridad que elimina una vulnerabilidad explotada por malware que se informó públicamente por primera vez hace ocho años.
- La herramienta AV de Windows Defender brinda la capacidad de ver y editar exclusiones de sistema de archivos, drivers y registro en el sistema.
Los investigadores de seguridad han descubierto una vulnerabilidad en el software antivirus de Microsoft que podría permitir a los atacantes eludir las protecciones antimalware en las máquinas con Windows.
Un informe de Bleeping Computer sobre un problema con las últimas versiones del sistema operativo Windows 10 de Microsoft indica que el problema afecta específicamente a los dispositivos que ejecutan las versiones 21H1 y 21H2.
defensor de Microsoft
Microsoft Defender es un programa antimalware gratuito que analiza archivos y procesos en busca de amenazas y puede proteger las PC con Windows de virus, malware, ransomware y otras amenazas de seguridad.
El complemento del Centro de seguridad de Windows Defender también le permite evitar que se analicen archivos, tipos de archivos, carpetas, procesos, ubicaciones o archivos ejecutables específicos mediante la función de exclusiones.
Esta característica puede ser útil en determinadas situaciones en las que el software malicioso se clasifica incorrectamente como una aplicación legítima.
Las listas de exclusión que protegen varios componentes de Windows 10 varían entre los usuarios y permiten a los actores de amenazas rastrear ubicaciones y almacenar archivos maliciosos en los dispositivos.
Antonio Cocomazzi, investigador de inteligencia de amenazas en SentinelOne, dijo que Microsoft Defender permite que cualquier usuario local lea los datos confidenciales almacenados en listas de exclusión a través de consultas de registro; esto es objetivamente preciso y no hace uso de un discurso informal.
La herramienta AV de Windows Defender permite a los usuarios leer el sistema de archivos y las exclusiones del registro en el sistema.
La falla de seguridad de Microsoft Defender
Además, el arquitecto de seguridad cibernética Nathan McNulty señaló que los atacantes podrían explotar el árbol de registro para obtener acceso a las listas de exclusión de múltiples sistemas.
“Para aquellos que configuran Defender AV en los servidores, tengan en cuenta que hay exclusiones automáticas que se habilitan cuando se instalan funciones o funciones específicas”, indicó McNulty en Twitter.
Sin embargo, puede crear una ubicación de instalación personalizada para una aplicación que no esté en la lista.
Actualizaciones de seguridad
Microsoft anunció hoy el lanzamiento de una actualización de seguridad que elimina la vulnerabilidad que puede ser aprovechada por malware. La vulnerabilidad fue reportada por primera vez por investigadores de seguridad hace ocho años.
Microsoft aún no ha abordado este problema y no hay información sobre cuándo podría estar disponible una solución para los usuarios de su sistema operativo Windows.
Se recomienda a los administradores que configuren las exclusiones de Microsoft Defender mediante las políticas de grupo en las máquinas con Windows 10 y Windows Server.
¿Se ha visto afectado por la falla de seguridad de Microsoft Defender antes? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.
