Hace unos meses la publicación alemana Computer Bild realizaba una comparativa para saber cuáles son los antivirus más recomendables y daban por ganador a Microsoft Defender, destacando cómo se ha ido mejorando a lo largo de los años y el que la propuesta sea totalmente gratuita, viniendo incluida como protección estándar de Windows. No obstante, señalaban que no podía competir en actualizaciones con sus rivales.
En cualquier caso, el antivirus de Microsoft está lejos de ser perfecto y esta es algo que se evidencia con la noticia que nos ocupa hoy. Se acaba de conocer que tiene una debilidad por la cual los atacantes pueden eludir la detección antimalware y campar a sus anchas en los equipos instalando código malicioso.
El caso es que Microsoft Defender permite a los usuarios que ciertas ubicaciones en sus máquinas no se tengan que someter al análisis de la solución de seguridad. Así, el conocimiento de la lista de excepciones de escaneo posibilita a los atacantes saber dónde almacenar su código malicioso para evitar ser detectado.
Esto significa que una vez dentro de una red comprometida, los ciberdelincuentes pueden escoger dónde almacenar sus herramientas maliciosas y malware sin ser detectados. Esto afectaría a Windows 10 21H1 y Windows 10 21H2 desde hace al menos ocho años, aunque no a Windows 11.
Windows Defender AV allows Everyone to read the configured exclusions on the system 🤦
— Antonio Cocomazzi (@splinter_code) January 12, 2022
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s pic.twitter.com/dpTFwMVRje
El problema ha sido reportado por el investigador de amenazas de Sentinel One Antonio Coromazzi. Este asegura que cualquier usuario local tiene la posibilidad de acceder a la lista de excepciones de escaneo, independientemente de sus permisos. Basta con ejecutar el comando 'reg query' para ello.
Para añadir más madera, el también investigador de seguridad Nathan McNulty ha destacado que cuando Microsoft Defender ha sido instalado en un servidor, existen exclusiones automáticas que se configuran al incorporar características o roles específicos.
La alerta se dio hace unos meses
Otro experto llamado Paul Bolton llegó a identificar un problema similar allá por mayo del año pasado, con lo que este investigador podría haber sido el primero en dar la voz de alarma.
Por el momento desde Microsoft no han hecho comentarios al respecto ni señalado si tiene pensado lanzar un parche de seguridad para solucionar esta debilidad de su antivirus.
When assessing a target it is useful to determine the security config of an EDR/AV such as Windows Defender to find exempt processes/paths/etc for your payloads. As an unpriv user you may be blocked from viewing; at least via the front door 1/2#RedTeam #ProTip pic.twitter.com/B4TzMvy0Tg
— Paul Bolton (m0noc) (@overtsecrecy) May 5, 2021