- Los investigadores del “Chaotic Eclipse” revelan el nuevo Microsoft Defender Zero-Day denominado RedSun
- El error permite la elevación de privilegios locales en el sistema abusando del comportamiento de reescritura de archivos de Defender.
- Bluehammer llega más tarde el día del lanzamiento; Microsoft dice que investiga y respalda las versiones integradas
El mismo investigador descontento que recientemente reveló una vulnerabilidad de día cero en Windows lo ha vuelto a hacer, esta vez apuntando a la solución antivirus nativa del sistema operativo, Microsoft Defender.
Un investigador apodado “Chaotic Eclipse” ha publicado una prueba de concepto (PoC) que han explotado para una vulnerabilidad llamada “RedSun”. Se trata de una falla de escalada de privilegios local que permite privilegios del sistema a actores maliciosos con Windows Defender habilitado en Windows 10, Windows 11 y las últimas versiones de Windows Server.
“Cuando Windows Defender se da cuenta de que un archivo malicioso tiene una etiqueta de nube, por cualquier razón estúpida y ridícula, el antivirus que se supone debe proteger decide que es una buena idea reescribir el archivo que encontró en su ubicación original”, escribe Chaotic Eclipse. “PoC aprovecha este comportamiento para sobrescribir archivos del sistema y obtener privilegios administrativos”.
El artículo continúa a continuación.
“una experiencia terrible”
Computadora pitando confirmó que el error funciona y dice que algunos proveedores de antivirus en VirusTotal ya lo están detectando porque el ejecutable contiene un EIRCAR (archivo de prueba de antivirus) integrado.
La noticia llega unos 10 días después de que Chaotic Eclipse publicara el código para Bluehammer, una falla de escalada de privilegios que permite a los atacantes locales obtener permisos de administrador elevados o del sistema en un punto final objetivo.
Aparentemente, el investigador no estaba contento con la forma en que Microsoft manejó la divulgación de la vulnerabilidad.
“Normalmente, pasaría por el proceso de rogarles que arreglaran un error, pero para abreviar la historia, ellos personalmente me dijeron que arruinarían mi vida y lo hicieron, y no estoy seguro de si soy el único que ha tenido esta horrible experiencia o pocas personas la han tenido, pero creo que la mayoría se la comerá y reducirá sus pérdidas, pero a mí me lo quitaron todo”, decía la aplicación Chaotic Eclipse.
“Fregaron el piso conmigo y realizaron todos los juegos infantiles que pudieron. Fue tan malo que en un momento me pregunté si estaba tratando con una gran corporación o alguien que se estaba divirtiendo viéndome sufrir, pero parecía una decisión colectiva”.
En respuesta, Microsoft dijo que está “comprometido con el cliente a investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible”.
“También apoyamos la divulgación integrada de vulnerabilidades, una práctica industrial ampliamente aceptada que ayuda a garantizar que los problemas se investiguen y resuelvan cuidadosamente antes de la divulgación pública, apoyando tanto la protección del consumidor como la comunidad de investigación de seguridad”, dijo el portavoz a la publicación.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
