El hecho de que una vulnerabilidad sea antigua no significa que no sea útil. Ya sea la piratería de Adobe Flash o el exploit EternalBlue para Windows, algunos métodos son demasiado buenos para que los atacantes los abandonen, incluso si ya han pasado años. Pero un error crítico de 12 años en el omnipresente antivirus Windows Defender de Microsoft aparentemente fue pasado por alto por atacantes y defensores por igual hasta hace poco. Ahora que Microsoft finalmente lo parcheó, la clave es asegurarse de que los piratas informáticos no intenten recuperar el tiempo perdido.
La falla, descubierta por los investigadores de la firma de seguridad SentinelOne, apareció en un controlador que Windows Defender, rebautizado como Microsoft Defender el año pasado, usa para eliminar los archivos invasivos y la infraestructura que puede crear el malware. Cuando el controlador elimina un archivo malicioso, lo reemplaza por uno nuevo y benigno como una especie de marcador de posición durante la reparación. Pero los investigadores descubrieron que el sistema no verifica específicamente ese nuevo archivo. Como resultado, un atacante podría insertar enlaces de sistema estratégicos que indiquen al controlador que sobrescriba el archivo incorrecto o incluso que ejecute código malicioso.
Windows Defender sería infinitamente útil para los atacantes para tal manipulación, ya que viene con Windows de forma predeterminada y, por lo tanto, está presente en cientos de millones de computadoras y servidores en todo el mundo. El programa antivirus también es altamente confiable dentro del sistema operativo, y Microsoft firma criptográficamente el controlador vulnerable para demostrar su legitimidad. En la práctica, un atacante que aproveche la falla podría eliminar software o datos cruciales, o incluso ordenar al controlador que ejecute su propio código para controlar el dispositivo.
«Este error permite la escalada de privilegios», dice Kasif Dekel, investigador principal de seguridad de SentinelOne. «El software que se ejecuta con pocos privilegios puede elevarse a privilegios administrativos y comprometer la máquina».
SentinelOne informó por primera vez del error a Microsoft a mediados de noviembre y la compañía lanzó un parche el martes. Microsoft calificó la vulnerabilidad como un riesgo «alto», aunque hay advertencias importantes. La vulnerabilidad solo se puede explotar cuando un atacante ya tiene acceso, remoto o físico, a un dispositivo de destino. Esto significa que no es una ventanilla única para los piratas informáticos y debería implementarse junto con otras vulnerabilidades en la mayoría de los escenarios de ataque. Pero seguiría siendo un objetivo atractivo para los piratas informáticos que ya tienen ese acceso. Un atacante podría aprovechar haber comprometido cualquier máquina con Windows para profundizar en una red o en el dispositivo de la víctima sin tener que acceder primero a cuentas de usuarios privilegiados, como las de los administradores.
SentinelOne y Microsoft están de acuerdo en que no hay evidencia de que la falla haya sido descubierta y explotada antes del análisis de los investigadores. Y SentinelOne está ocultando detalles sobre cómo los atacantes podrían aprovechar la falla para dar tiempo al parche de Microsoft para proliferar. Sin embargo, ahora que los hallazgos son públicos, es solo cuestión de tiempo antes de que los malos actores descubran cómo aprovecharlos. Un portavoz de Microsoft señaló que cualquier persona que haya instalado el parche del 9 de febrero o tenga habilitadas las actualizaciones automáticas ahora está protegida.
Una eternidad
En el mundo de los principales sistemas operativos, una docena de años es mucho tiempo para ocultar una mala vulnerabilidad. Y los investigadores dicen que puede haber estado presente en Windows durante más tiempo, pero su investigación estuvo limitada por el tiempo que la herramienta de seguridad VirusTotal almacena información en productos antivirus. En 2009, Windows Vista fue reemplazado por Windows 7 como la versión actual de Microsoft.
Los investigadores plantean la hipótesis de que el error permaneció oculto durante tanto tiempo porque el controlador vulnerable no se almacena en el disco duro de una computadora a tiempo completo, como lo están los controladores de su impresora. En cambio, se encuentra en un sistema de Windows llamado «biblioteca de enlaces dinámicos» y Windows Defender solo lo carga cuando es necesario. Una vez que el controlador termina de funcionar, se borra del disco nuevamente.
«Nuestro equipo de investigación notó que el controlador se carga dinámicamente y luego se elimina cuando no se necesita, lo cual no es un comportamiento común», dice Dekel de SentinelOne. «Entonces lo investigamos. Pueden existir vulnerabilidades similares en otros productos, y esperamos que al revelar esto ayudemos a otros a mantenerse seguros».
Ocasionalmente surgen errores históricos, desde una falla de módem Mac de hace 20 años hasta un error zombi de 10 años en los teléfonos de escritorio de Avaya. Los desarrolladores y los investigadores de seguridad no pueden detectar todo cada vez. Incluso le ha pasado a Microsoft antes. En julio, por ejemplo, la empresa parchó una vulnerabilidad de DNS de Windows potencialmente peligrosa de hace 17 años. Como tantas cosas en la vida, más vale tarde que nunca.
Esta historia apareció originalmente en wired.com.
