El Windows Defender de Microsoft ha recibido buenas críticas incluso desde poco después que fue incorporado al sistema operativo. De hecho, incluso hay quien lo recomienda como el único antivirus que debemos tener instalado en nuestro equipo. Sin embargo, como todo software, no está libre de tener fallos, y hace muy poco se descubrió uno grave que ha sido resuelto desde Redmond con bastante velocidad.

Se trataba de una vulnerabilidad crítica en el motor de protección contra malware que se encuentra presente no solo en Windows Defender, sino en Microsoft Security Essentials y en otras herramientas. Fue descubierta por investigadores de Project Zero, el equipo de analistas de seguridad de Google que anda en busca y captura de vulnerabilidades zero-day, y se informó de ella el 3 de mayo, haciéndola pública el 8 de mayo.

La vulnerabilidad en cuestión era bastante grave. Según han dicho desde Microsoft, permitía instalar programas, modificar o borrar datos y crear cuentas nuevas de usuario con permisos para todo. Para conseguir esto, era necesario que los atacantes elaborasen un archivo especial pensado para que el motor lo revisase. Al hacerlo era cuando el archivo sacaba partido a la vulnerabilidad para comprometer el sistema objetivo.

Normalmente, este tipo de archivos se ejecutan al abrirlos o al descargarse, pero según los investigadores ni siquiera era necesario que esto ocurriese. Pero los atacantes podrían acceder al motor de protección tan solo enviando mensajes de correo a los usuarios, sin necesidad de que estos los abriesen o abriesen los archivos adjuntos. También era posible hacerlo cuando se visitasen enlaces en el navegador o por mensajería instantánea y otros métodos.

Esto era posible debido a que el motor de Microsoft emplea un minifiltro para inspeccionar la actividad en el sistema de archivos. De esta manera, al escribir contenidos en el disco, como por ejemplo archivos de caché o archivos temporales de Internet e incluso descargas no confirmadas, se podía acceder al motor.

En palabras de los analistas de Google, las vulnerabilidades en este motor de protección son de las más graves que hay en Windows debido a los privilegios, accesibilidad y ubicuidad que tiene el servicio. Y es que hay que considerar que el problema descubierto se encontraba dentro una herramienta que sirve como base para muchas otras utilidades, y no en un producto específico de Microsoft.

Por suerte, desde Redmond son conscientes de esto y lo han resuelto con mucha velocidad. Según han informado desde la compañía, no tienen evidencia de que la vulnerabilidad haya sido aprovechada de alguna manera antes de que se hiciese pública. Pero recuerda que esa falta de evidencia no significa que alguien no lo haya usado: simplemente es que no lo saben.

Con esto queremos decir que cosas como estas son la razón por las que resulta conveniente tener activadas las actualizaciones automáticas. Por defecto, las herramientas que recurren al motor de protección de malware se ponen al día solas, a menos que hayas cambiado la configuración. Si lo has hecho, asegúrate de actualizar cuanto antes, no sea que alguien esté tratando de sacar partido de esta vulnerabilidad en sistemas que no se han actualizado todavía. Los delincuentes son muy rápidos.