Las vulnerabilidades que afectan a sistemas operativos y aplicaciones son bastante comunes. Estos fallos pueden otorgar a los atacantes la oportunidad de robar información personal, contraseñas o incluso controlar dispositivos. Generalmente, estos problemas se hacen públicos cuando se lanza una actualización que los corrige. Sin embargo, en esta ocasión se ha revelado un fallo de seguridad en el antivirus de Windows que podría ser explotado por atacantes.
La vulnerabilidad, conocida como BlueHammer (sin un CVE asignado por Microsoft), afecta a Windows Defender, el antivirus de la compañía. Si un atacante logra explotarla, podría escalar privilegios a nivel local, obteniendo acceso administrativo completo en los sistemas que sean vulnerables y estén comprometidos.
Vulnerabilidad publicada sin parches
El inconveniente es que Microsoft aún no ha lanzado un parche para corregir esta vulnerabilidad. Este fallo fue descubierto por un investigador de seguridad llamado Chaotic Eclipse, quien hizo la publicación en su blog el 2 de abril. Aunque no detalla cómo funciona la vulnerabilidad, menciona su existencia y proporciona un enlace a GitHub donde se encuentra una prueba de concepto.
La vulnerabilidad se basa en una debilidad en la manera en que los procesos de Windows gestionan ciertos permisos. Si un atacante con acceso limitado logra explotar esta vulnerabilidad, podría elevar sus privilegios hasta alcanzar derechos de administrador completos.
Entre las acciones que podría realizar un atacante se encuentran desactivar el software de seguridad, instalar malware o robar información confidencial del sistema. Sin un antivirus operativo y capaz de detectar software malicioso, tendrían prácticamente libertad para ejecutar diversas acciones maliciosas.
Según el medio especializado GB Hackers, el investigador de seguridad Will Dormann ha probado la vulnerabilidad y ha corroborado públicamente su efectividad. Si bien indicó que no siempre se activará de manera óptima, representa un riesgo real para los usuarios.
El propio investigador explicó que la decisión de hacer pública esta vulnerabilidad de día cero sin esperar un parche se debe al creciente conflicto entre investigadores independientes y el Centro de Respuesta de Seguridad de Microsoft (MSRC).
Las pruebas de concepto indican que Windows 11 (Build 10.0.26200.8037) es vulnerable. No hay confirmación oficial sobre la vulnerabilidad en Windows 10 o Windows Server.
Recomendaciones a seguir
Como usuarios, es fundamental mantener Windows siempre actualizado. Aunque existan vulnerabilidades de día cero sin parches, es cuestión de tiempo que Microsoft lance una corrección. Por ello, es esencial mantener todo al día y no facilitar el trabajo a los atacantes.
Además, es crucial evitar errores básicos. Por ejemplo, al instalar aplicaciones, siempre debe hacerse desde fuentes oficiales y evitar descargar software de sitios no verificados, que podrían ser fraudulentos y comprometer la seguridad.
También es importante mantener tus dispositivos bien configurados, implementando medidas de seguridad adicionales si están disponibles. Todo esto contribuirá a preservar el buen funcionamiento de tus dispositivos y a mantener alejados a posibles atacantes, como restringir los permisos de usuarios locales al mínimo necesario.
Preguntas frecuentes
¿Qué es la vulnerabilidad BlueHammer?
BlueHammer es una vulnerabilidad de día cero que afecta a Windows Defender, el antivirus de Microsoft. Permite a un atacante con acceso local de bajo nivel escalar sus privilegios hasta obtener permisos de administrador completo en el sistema.
¿Hay algún parche disponible para BlueHammer?
No. Al momento de publicar esta información, Microsoft no ha lanzado ningún parche o actualización que solucione esta vulnerabilidad. Se trata de un fallo de día cero, lo que significa que ha sido revelado antes de que exista una solución oficial.
¿Qué puede hacer un atacante que explote esta vulnerabilidad?
Un atacante que logre explotar BlueHammer podría desactivar el software de seguridad, instalar malware adicional, robar información confidencial del sistema o tomar el control total del equipo con permisos de administrador.
