Microsoft ha anunciado la corrección de una vulnerabilidad en Windows Defender / Microsoft Defender que permitía a los potenciales atacantes obtener permisos de administrador en sistemas Windows.

Pero lo que distingue a esta vulnerabilidad en cuestión (conocida como CVE-2021-24092) es que llevaba presente nada menos que desde 2009, afectando por tanto a las versiones de Windows (tanto de cliente como de servidor) a partir de Windows 7.
Pero CVE-2021-24092 no afecta únicamente al antivirus de Microsoft (instalado, recordemos, por defecto en Windows), sino también a otros productos de seguridad de la compañía que hacen uso del Malware Protection Engine: Microsoft Endpoint Protection, Microsoft Security Essentials, etc.

Una vulnerabilidad no explotada... hasta ahora

Concretamente, la vulnerabilidad residía en un driver denominado BTR.sys (siglas de Boot Time Removal Tool), usado por Windows durante el proceso de reparación del sistema de archivos y/o de entradas del Registro tras la detección de malware en un equipo.

Y eso es, precisamente, lo que explica que esta vulnerabilidad haya permanecido tanto tiempo sin ser detectada.

En Genbeta

Microsoft explica por qué ya no podemos desactivar Windows Defender desde el registro de Windows 10

Según explica un informe publicado ayer por SentinelOne (la compañía que localizó la vulnerabilidad en noviembre del año pasado e informó de la misma a Microsoft):

"Antes de ser corregida, la vulnerabilidad permaneció oculta durante 12 años, posiblemente debido a la naturaleza del mecanismo específico que permite activarla:

…