Microsoft Defender: una vulnerabilidad de hace 8 años permite sortear la detección de “malware” en Windows 10

El antivirus de Microsoft emplea una lista de exclusiones que no está protegida y puede ser aprovechada para saber donde alojar “malware” sin que sea detectado

La lista de exclusiones de Microsoft Defender indica las ubicaciones del equipo fuera de la protección del antivirus.
La lista de exclusiones de Microsoft Defender indica las ubicaciones del equipo fuera de la protección del antivirus. FOTO: La Razón (Custom Credit) Cortesía de Tadas Sar / Unsplash.

Investigadores de seguridad han alertado de un fallo en Microsoft Defender, la solución de seguridad conocida como Windows Defender hasta 2020, que permite a un atacante alojar “malware” en un equipo con Windows 10 sin que pueda ser detectado por el antivirus del sistema operativo, según informa Bleeping Computer.

El antivirus de Windows ofrece la posibilidad de excluir determinadas ubicaciones en el equipo de la vigilancia de Microsoft Defender. Suele emplearse para evitar conflictos entre el antivirus y determinadas aplicaciones o archivos que pueden ser detectados erróneamente como peligrosos o dañinos. Añadiendo la ubicación del programa a la lista de exclusiones, un usuario evita que Microsoft Defender afecte al funcionamiento de determinados programas.

Sin embargo, esa lista no está protegida y cualquiera con acceso al equipo puede leerla y modificarla. Esa información es todo lo que necesita un atacante para saber donde alojar archivos maliciosos en un equipo y que no sean detectados por la solución de seguridad de Windows.

Antonio Cocomazzi, investigador de la firma de seguridad SentinelOne, ha explicado como la lista es accesible por cualquier usuario tanto a través de la consola de comandos de Windows como del menú de Configuración de Windows 10. En el primer caso, pulsando en el icono de Windows, tecleando “cmd” y en Símbolo del Sistema introduciendo la línea de comandos “reg query “HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions” /s”, sin las comillas de inicio y finales. El sistema mostrará todo lo que Microsoft Defender tiene indicado no escanear, sean archivos, carpetas, extensiones o procesos.

La misma información es accesible de forma aún más sencilla a través del menú de Windows seleccionando Inicio > Configuración; > Actualización y seguridad > Seguridad de Windows > Protección contra virus y amenazas > Configuración de Protección contra virus y amenazas > Administrar la configuración > Exclusiones > Agregar o quitar exclusiones.

Otro investigador de seguridad, Nathan Mc Nulty, ha señalado que el problema afecta a las versiones 21H1 y 21H2 de Windows 10, pero no a Windows 11, la versión más reciente del sistema operativo de Microsoft. También que la información que muestra Windows a través de la consola de comandos incluye parámetros para las políticas de grupo, lo que significa que desde un equipo se pueden conocer localizaciones excluidas en otros equipos en la misma red. Y que cuando Microsoft Defender opera en un servidor configura “exclusiones automáticas que se activan cuando determinados roles y características son instaladas”. Con esta información, un atacante puede alojar “malware” en una serie de equipos en la misma red sin temor a que sea detectado.

Bleeping Computer realizó la prueba con el “ramsonware” Conti, de forma que cuando fue alojado en una ubicación excluida en Microsoft Defender, el antivirus fue incapaz de detectarlo. Cuando se movió a otra ubicación que no estaba excluida, Microsoft Defender lo detectó inmediatamente.

Este fallo de Windows Defender ya ha sido reportado con anterioridad y, aunque no está presente en Windows 11, continúa en Windows 10 que aún posee una base de usuarios mucho mayor que la versión anterior del sistema operativo.

El usuario de Twitter @SecurityAura, consultor de seguridad, ha señalado que el fallo está presente desde hace ocho años. “Siempre me dije a mí mismo que si fuera algún tipo de desarrollador de malware, simplemente buscaría las exclusiones de WD y me aseguraría de colocar mi carga útil en una carpeta excluida y/o darle el mismo nombre que un nombre de archivo o extensión excluidos”, ha señalado.