Los atacantes en Windows 10 podrían leer las carpetas que Microsoft Defender no escanea.

Desde su actualización ‘Creators Update’ de Windows 10, este sistema operativo incorpora un Centro de Seguridad de Windows Defender, que facilita la tarea de agregar exclusiones en las políticas de protección del antivirus de Microsoft. Dichas excepciones son directorios (o archivos, o procesos, o unidades) que no deseamos que Defender analice en busca de malware: la principal razón para agregar una es saber que genera falsos positivos (muchos programas que alteran ciertos elementos del sistema operativo, por ejemplo, hacen ‘saltar’ a los antivirus, por legítimos que sean).

Pero, ¿y si los cibercriminales tuvieran un modo de saber exactamente qué directorios hemos excluido de la comprobación, y aprovecharan dicho conocimiento para instalar ahí su malware e infectar nuestro sistema desde allí? Sería una catástrofe, ¿verdad?

Pues, según publica Bleeping Computer, eso es exactamente lo que ha ocurrido con las últimas versiones de Windows 10 (la 21H1 y la 21H2), que presentan una vulnerabilidad que permite a los atacantes leer la lista de exclusión de Defender.

Según el experto en ciberseguridad Nathan McNulty, esta vulnerabilidad no afecta a Windows 11. Esto es posible gracias a que Windows permite que dicha lista es accesible por cualquier usuario local consultando el Registro de Windows. Por otro lado, si tú mismo quieres consultar la lista, tendrás que abrir la terminal de Windows con permisos de administrador y ejecutar el siguiente comando: reg query «HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions» /s

En este sentido, el acceso a esta información tenga que realizarse a través de un usuario local está lejos de ser un problema para el ciberatacante si el sistema al que se pretende acceder forma parte de una red social ya comprometida o si ha instalado otro malware no reconocido por el antivirus.

Los administradores de sistemas pueden solventar este problema configurando las exclusiones de Defender no desde el Centro de Seguridad, sino creando directivas de grupo desde el ‘Editor de directivas de grupo local’ (Ejecutar > gpedit.msc) y luego accediendo a ‘Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Defender > Exclusiones’.