Microsoft abordó una vulnerabilidad de escalada de privilegios de 12 años de antigüedad en Windows Defender

[post-views]
febrero 18, 2021 · 3 min de lectura
Microsoft abordó una vulnerabilidad de escalada de privilegios de 12 años de antigüedad en Windows Defender

En febrero de 2021, Microsoft corrigió un error de escalación de privilegios en Microsoft Defender Antivirus (anteriormente Windows Defender) que podría proporcionar a los actores de amenazas la capacidad de obtener derechos de administrador en el host vulnerable y desactivar productos de seguridad preinstalados. Los expertos de SentinelOne, quienes revelaron el problema, informan que el fallo se introdujo en 2009 y permaneció sin divulgarse durante más de 12 años.

Descripción de la vulnerabilidad en Windows Defender

El problema (CVE-2021-24092) proviene de una mala configuración relacionada con el controlador BTR.sys, que funciona para eliminar los recursos del sistema de archivos y del registro asociados con el software malicioso en la máquina comprometida. Dado que el controlador no tiene un enlace de verificación, los adversarios pueden producir uno malicioso para sobrescribir archivos arbitrarios. En consecuencia, CVE-2021-24092 podría ser explotado por un hacker local sin privilegios en una variedad de intrusiones que no implican la interacción del usuario.

Los analistas de seguridad suponen que la vulnerabilidad permaneció sin divulgarse durante años ya que el controlador no suele estar presente en el disco duro, sino que se activa solo en caso de necesidad. A pesar de que el fallo fue introducido en Windows Defender hace mucho tiempo, no hay indicios de explotación en la naturaleza. Aun así, los investigadores creen que los adversarios intentarían aprovechar este agujero de seguridad contra los usuarios sin parche después de la divulgación pública.

CVE-2021-24092: Detección y Mitigación

SentinelOne informó de la vulnerabilidad al Centro de Respuesta de Seguridad de Microsoft en noviembre de 2020, y el proveedor la corrigió con la versión del 9 de febrero de 2021. La última versión del Motor de Protección contra Malware de Microsoft afectada por este error es 1.1.17700.4. La primera versión que tiene este problema solucionado es 1.1.17800.5. El parche se introdujo con la versión del Motor de Protección contra Malware de Microsoft 1.1.17800.5, por lo que está protegido si tiene instalada esta versión (o posterior).

Cabe destacar que el parche para CVE-2021-24092 se instala automáticamente para todos los hosts que soportan las versiones afectadas de Windows Defender. Verifique si tiene las actualizaciones de Windows Defender habilitadas para proceder con la actualización automática. Alternativamente, puede aplicar las correcciones manualmente para una mitigación inmediata.

Para identificar la actividad maliciosa asociada con CVE-2021-24092, puede descargar una regla Sigma dedicada de SOC Prime:

https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/

La regla tiene traducciones a las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Microsoft Defender ATP, Carbon Black, SentinelOne

MITRE ATT&CK:

Tácticas: Escalación de privilegios

Técnicas: Explotación para Escalación de Privilegios (T1068)

A menos que no tenga acceso pagado al Mercado de Detección de Amenazas, esta regla Sigma se puede desbloquear activando su prueba gratuita bajo una suscripción comunitaria.

Manténgase al tanto de nuestro blog para acceder a las detecciones más relevantes a las amenazas emergentes. Se añadirán reglas adicionales relacionadas con CVE-2021-24092 a este artículo.

Regístrese en el Mercado de Detección de Amenazas, una plataforma líder mundial de contenido como servicio (CaaS) que proporciona algoritmos de detección, enriquecimiento, integración y automatización para apoyar a los profesionales de seguridad mientras traducen grandes datos, registros y telemetría en la nube en señales de ciberseguridad. Puede transmitir contenido SOC seleccionado directamente a las herramientas SIEM, EDR, NSM y SOAR de su elección, mejorando las capacidades de detección de amenazas. ¿Quiere crear sus propias reglas Sigma y apoyar a la comunidad global de caza de amenazas? ¡Únase a nuestro Programa de Recompensas de Amenazas!

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko