Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Antivirus Windows Defender permite ver las carpetas excluidas para su análisis


El antivirus de Microsoft, Windows Defender emplea una lista de exclusiones que no está protegida y puede ser aprovechada para saber donde esconder “malware” sin que sea detectado. La vulnerabilidad afecta Windows 10 y Windows Server 2019, pero no Windows 11. Por ejemplo el ramsonware Conti se aloja en una ubicación excluida en Microsoft Defender, así que el antivirus fue incapaz de detectarlo. Cuando se movió a otra ubicación que no estaba excluida, Microsoft Defender lo detecta inmediatamente.



Microsoft Defender: una vulnerabilidad desde hace 8 años permite evitar la detección de malware en Windows 10

El antivirus de Windows ofrece la posibilidad de excluir determinadas ubicaciones en el equipo de la vigilancia de Microsoft Defender. Suele emplearse para evitar conflictos entre el antivirus y determinadas aplicaciones o archivos que pueden ser detectados erróneamente como peligrosos o dañinos. Añadiendo la ubicación del programa a la lista de exclusiones, un usuario evita que Microsoft Defender afecte al funcionamiento de determinados programas.

Sin embargo, esa lista no está protegida y cualquiera con acceso al equipo puede leerla y modificarla. Esa información es todo lo que necesita un atacante para saber donde alojar archivos maliciosos en un equipo y que no sean detectados por la solución de seguridad de Windows.

Desde la actualización 'Creators Update' de Windows 10, este sistema operativo incorpora un Centro de Seguridad de Windows Defender, que facilita la tarea de agregar exclusiones en las políticas de protección del antivirus de Microsoft.

Dichas excepciones son directorios (o archivos, o procesos, o unidades) que no deseamos que Defender analice en busca de malware: la principal razón para agregar una es saber que genera falsos positivos (muchos programas que alteran ciertos elementos del sistema operativo, por ejemplo, hacen 'saltar' a los antivirus, por legítimos que sean).

Pero, ¿y si los cibercriminales tuvieran un modo de saber exactamente qué directorios hemos excluido de la comprobación, y aprovecharan dicho conocimiento para instalar ahí su malware e infectar nuestro sistema desde allí? Sería una catástrofe, ¿verdad?

Información disponible a través de cualquier usuario local




Esto es exactamente lo que ha ocurrido con las últimas versiones de Windows 10 (la 21H1 y la 21H2), que presentan una vulnerabilidad que permite a los atacantes leer la lista de exclusión de Defender. Según el experto en ciberseguridad Nathan McNulty, esta vulnerabilidad no afecta a Windows 11.

Esto es posible gracias a que Windows permite que dicha lista es accesible por cualquier usuario local consultando el Registro de Windows. Por otro lado, si tú mismo quieres consultar la lista, tendrás que abrir la terminal de Windows con permisos de administrador y ejecutar el siguiente comando:

reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s

Antonio Cocomazzi, investigador de la firma de seguridad SentinelOne, ha explicado como la lista es accesible por cualquier usuario tanto a través de la consola de comandos de Windows como del menú de Configuración de Windows 10. En el primer caso, pulsando en el icono de Windows, tecleando “cmd” y en Símbolo del Sistema introduciendo la línea de comandos “reg query “HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions” /s”, sin las comillas de inicio y finales. El sistema mostrará todo lo que Microsoft Defender tiene indicado no escanear, sean archivos, carpetas, extensiones o procesos.



La misma información es accesible de forma aún más sencilla a través del menú de Windows seleccionando 

  • Inicio > Configuración; > Actualización y seguridad > Seguridad de Windows > Protección contra virus y amenazas > Configuración de Protección contra virus y amenazas > Administrar la configuración > Exclusiones > Agregar o quitar exclusiones.

Que el acceso a esta información tenga que realizarse a través de un usuario local está lejos de ser un problema para el ciberatacante si el sistema al que se pretende acceder forma parte de una red social ya comprometida o si ha instalado otro malware no reconocido por el antivirus.

Los administradores de sistemas pueden solventar este problema configurando las exclusiones de Defender no desde el Centro de Seguridad, sino creando directivas de grupo desde el 'Editor de directivas de grupo local' (Ejecutar > gpedit.msc) y luego accediendo a 'Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Defender > Exclusiones'. 

Otro investigador de seguridad, Nathan Mc Nulty, ha señalado que el problema afecta a las versiones 21H1 y 21H2 de Windows 10, pero no a Windows 11, la versión más reciente del sistema operativo de Microsoft.  Microsoft Defender opera en un servidor configura “exclusiones automáticas que se activan cuando determinados roles y características son instaladas”. Con esta información, un atacante puede alojar “malware” en una serie de equipos en la misma red sin temor a que sea detectado.

Fuentes:
https://www.genbeta.com/seguridad/lista-carpetas-que-microsoft-defender-no-escanea-puede-ser-leida-cualquier-atacante-windows-10-asi-puedes-evitarlo

https://www.larazon.es/tecnologia/20220114/5fn6n42vybepdelgparbdbk4gm.html


1 comentarios :

Anónimo dijo...

La mejor defensa es agregar excepciones a archivos ejecutables específicos, y no a las carpetas que los contienen.

Además, el agregar archivos específicos también se prestaría a reemplazar esos archivos con el virus. Siendo los permisos de archivo la única defensa. Por lo que los antivirus deberían, como mínimo, hacer una comprobación de fecha de modificación y tamaño de archivo, ver que coincidan con los que eran cuando fue agregada la excepción. Hash sería lo ideal, pero bueno.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.