Microsoft Defender, Avast, AVG eliminan archivos de Windows a través de una vulnerabilidad
Microsoft Defender

Microsoft Defender, Avast, AVG eliminan archivos de Windows a través de una vulnerabilidad

La vulnerabilidad ya ha sido corregida.

La vulnerabilidad ya ha sido corregida.

Según ha descubierto un investigador de seguridad, Microsoft Defender, Avast, AVG permiten la eliminación de archivos de Windows a través de una vulnerabilidad.

Para demostrarlo, Yair ha publicado una pequeña prueba llamada «Aikido«, la cual esta basada e una técnica japonés que lo que hace es volver todos los movimientos de sus oponentes contra ellos mismos.

Microsoft Defender, Avast, AVG eliminan archivos de Windows a través de una vulnerabilidad
Microsoft Defender, Avast, AVG eliminan archivos de Windows a través de una vulnerabilidad

Aikido elimina archivos de Windows con la ayuda de Microsoft Defender, Avast, AVG

Cabe mencionar que Microsoft ha reconocido la falla y por supuesto, ha enviado una actualización de emergencia a Defender para reparar la vulnerabilidad.

Por otro lado, Avast, AVG y TrendMicro también fueron comunicados de esta falla y ya estarían implementando la solución.

Sin embargo, McAfee y Bitdefender han salido ilesos de este problema. Yair ha explicado explica que la prueba Aikido esta basada en lo que se llama vulnerabilidad del tiempo de verificación al tiempo de uso (TOCTOU).

En pocas palabras, el antivirus primero detecta y luego elimina el archivos malicioso del sistema, pero en este caso, cuando el antivirus detecta el archivo, Aikido inyecta una ruta alternativa después de la detección del malware que luego conlleva a la eliminación de un archivo legitimo de su sistema operativo.

Cabe resaltar que este fallo es bastante delicado, ya que se podrían eliminar archivos que forman parte del inicio y ejecución del sistema operativo, por lo que si se eliminan, su PC podría quedar inutilizable.

Estos son los pasos que describe el investigador:

  • Cree una ruta especial con el archivo malicioso en C:\temp\Windows\System32\drivers\ ndis.sys
  • Sostenga su manija y obligue al EDR o AV a posponer la eliminación hasta después del próximo reinicio
  • Eliminar el directorio C:\temp
  • Cree una unión C:\temp → C:\
  • Reiniciar

Usted puede encontrar más información en esta página.