Cada año, los hackers idea nuevas maneras de eludir la seguridad de los sistemas operativos, no solo el que ofrece la compañía de Bill Gates, sino también el Linux Linus Torvalds y el macOS de Tim Cook. El objetivo siempre es integrar malwares peligrosos o atacar directamente los datos de los usuarios.
La empresa actualmente liderada por Satya Nadella, ha reportado varias vulnerabilidades de Día Cero en Windows que ha detenido a tiempo, pero lamentablemente, el caso más reciente ha sido exitoso para un grupo de expertos.
Entre las capas de protección virtual de este entorno se encuentran el TPM 2.0, el Secure Boot, Aislamiento del Núcleo, Firewall y otras. Todas se mantienen intactas, a excepción de Windows Defender, el conocido antivirus nativo que se encarga de combatir las amenazas.
Sí, un hacker logró acceder a este programa y ha sido una de las preocupaciones más grandes del año para el gigante tecnológico de Redmond. Un especialista de IBM, ha conseguido no una sola forma de hacerlo, sino tres, mandando una advertencia a todos los usuarios y desarrolladores que se encargan del mencionado sistema operativo.
¿Cómo Windows Defender ha sido hackeado?
Montaje/Microsoft
Bobby Cooke, quien forma parte del grupo Red Team Operation de IBM X-Force, ha conformado que hay una vulnerabilidad en Windows Defender que podría ser explotada por los ciberdelincuentes. Su investigación comenzó en 2024 y recientemente ha descubierto esta situación.
Según lo que menciona en Security Intelligence, una herramienta legítima podría ser utilizada como camuflaje para eludir las capas de seguridad del sistema operativo, incluyendo el Control de Aplicaciones de Windows Defender.
Uno de los programas oficiales en los que se pueden incrustar malwares es Microsoft Teams. Estas sin conocidas como “Electron”, las cuales pueden servir en navegadores web debido a que son creadas con HTML, JavaScript y Node.js.
“Las aplicaciones Electron funcionan como navegadores web que renderizan aplicaciones de escritorio utilizando tecnologías web estándar como HTML, JavaScript y CSS. El motor JavaScript de Electron es Node.js, que proporciona potentes API capaces de interactuar con el sistema operativo anfitrión. Estas API permiten acciones como leer y escribir archivos, ejecutar programas y otras operaciones típicas de las aplicaciones nativas”. — Bobby Cooke.
Al ser registrado como una app legal por el SO, se reconoce como “confiable”, por lo que pueden ser explotadas por los cibercriminales de diversas maneras. Pero eso no es todo, pues también se hicieron pruebas con Living Off The Land Binaries (LOLBins) y, tras la modificación de una biblioteca DLL no confiable vinculada con una app legítima, no fue detectado el malware.
Otras de las cosas que encontraron es que es posible explotar las reglas de exclusión del Control de aplicaciones de Windows Defender (WDAC). Según lo que se comenta en el informe, algunas políticas de seguridad para los clientes que son otorgadas por las plataformas, pueden ser utilizadas para acoplar virus y pasar desapercibido ante la capa de protección virtual.
Por lo tanto, hay tres maneras de ser afectados por medio del antivirus integrado en el SO de Microsoft. Si un hacker consigue instalar algún ente malicioso por medio de estas estrategias, tendría la capacidad de controlar el equipo de forma remota por medio de una red y así hacer todo tipo de acciones.
¿Cómo protegerse de las vulnerabilidades del WDAC?
Montaje/Unplash
Forbes ha confirmado que el equipo de Microsoft ya se encuentra trabajando en estas vulnerabilidades para que nada de esto llegue a ocurrir ni se repita. Sin embargo, se cree que las empresas deben ser más estrictas con respecto a las políticas de seguridad.
De igual manera, en cualquiera de estos casos lo mejor es no saltarse ningún paso relacionado con la ciberseguridad y mantener el software actualizado para que los posibles intentos de ataques sean eliminados con los respectivos parches.
Otra de las cosas fundamentales es que se mantenga habilitado el Control de Aplicaciones de Windows Defender y evitar instalar DLLs no oficiales que provengan de aplicaciones de terceros. Evidentemente, un antivirus adicional podría servir en estas circunstancias, ya que si esa capa no logra detectar el problema, esta segunda podría hacerlo.
Cabe destacar que esta es otra de las cosas por las que los expertos recomiendan no quedarse en Windows 10 después de que termine el soporte técnico, puesto que los usuarios podrían estar expuestos a más ciberataques.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Malware, Microsoft, Windows 11, Windows 10, hackers, Ciberseguridad
