### Vulnerabilidad Zero-Day en Microsoft Defender Permite Escalada de Privilegios y Robo de Hashes NTLM

#### Introducción

Recientemente se ha descubierto una vulnerabilidad crítica en Microsoft Defender que está siendo explotada activamente como zero-day. Este fallo permite a los atacantes acceder a la base de datos SAM (Security Account Manager), extraer hashes NTLM y obtener privilegios de System en sistemas afectados. La explotación de este bug representa un riesgo significativo para infraestructuras empresariales, especialmente aquellas que dependen de entornos Windows para la gestión de identidades y credenciales.

#### Contexto del Incidente o Vulnerabilidad

El incidente fue reportado tras la detección de campañas activas que aprovechaban una vulnerabilidad desconocida hasta el momento en Microsoft Defender, el antimalware nativo de Windows. Microsoft, consciente del impacto potencial, ha comenzado a investigar el alcance de la brecha mientras los equipos de respuesta a incidentes monitorizan intentos de explotación en entornos corporativos y gubernamentales. La vulnerabilidad afecta a múltiples versiones de Windows, incluyendo Windows 10 y Windows Server 2019/2022, donde Defender se encuentra habilitado por defecto.

#### Detalles Técnicos

La vulnerabilidad ha sido catalogada como un fallo que permite el acceso no autorizado a la base de datos SAM, un componente crítico que almacena hashes de contraseñas de usuarios locales y de dominio. Mediante esta brecha, un atacante autenticado con acceso limitado puede escalar privilegios y ejecutar código arbitrario con permisos de System.

– **CVE asignada**: En el momento de la publicación, se ha solicitado pero aún no se ha publicado el identificador CVE oficial; sin embargo, Microsoft la clasifica como de severidad crítica.
– **Vectores de ataque**: El vector principal consiste en el abuso de los permisos indebidos que Defender otorga a ciertos usuarios para acceder a ficheros protegidos del sistema, entre ellos `C:WindowsSystem32configSAM`.
– **TTPs (Tactics, Techniques, and Procedures) MITRE ATT&CK**:
– *T1003 – Credential Dumping*
– *T1055 – Process Injection*
– *T1068 – Exploitation for Privilege Escalation*
– **Indicadores de Compromiso (IoC)**:
– Acceso inusual a la ruta del archivo SAM
– Extracción de hashes NTLM
– Procesos hijos inesperados lanzados por Defender
– Uso de herramientas como Mimikatz o scripts PowerShell para el volcado de credenciales
– **Exploits conocidos**: Se han observado adaptaciones de módulos para Metasploit y Cobalt Strike que automatizan la explotación y la exfiltración de credenciales.

#### Impacto y Riesgos

El impacto principal radica en la obtención de privilegios de System, lo que permite al atacante el control total del host comprometido. Además, la extracción de hashes NTLM posibilita ataques de movimiento lateral, Pass-the-Hash y, potencialmente, la escalada a dominio. Datos preliminares indican que el 78% de los endpoints corporativos con Defender activo y sin los últimos parches aplicados son vulnerables. El riesgo se incrementa en organizaciones que aún operan con políticas laxas de segmentación de red y control de accesos.

Los daños potenciales incluyen robo de información confidencial, alteración de configuraciones críticas, propagación de malware y violaciones de cumplimiento normativo, incluyendo GDPR y la inminente NIS2.

#### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata**: Aplicar los parches de seguridad proporcionados por Microsoft en cuanto estén disponibles. Se recomienda habilitar las actualizaciones automáticas.
– **Restricción de acceso**: Revisar y reforzar los permisos de acceso a directorios críticos (`C:WindowsSystem32config*`), limitando el acceso solo a cuentas de sistema.
– **Monitorización**: Implementar reglas específicas en SIEM para detectar accesos anómalos a la SAM y alertar sobre la ejecución de herramientas de dumping de credenciales.
– **Segmentación de red**: Limitar el movimiento lateral a través de la segmentación de VLANs y el uso de firewalls internos.
– **Auditoría de cuentas**: Revisar los logs de eventos y la integridad de las cuentas privilegiadas ante posibles accesos sospechosos.
– **Educación y concienciación**: Formar a los equipos de TI y SOC sobre los nuevos vectores de ataque y los IoC asociados a esta amenaza.

#### Opinión de Expertos

Especialistas en ciberseguridad como Kevin Beaumont y Jake Williams señalan que la naturaleza de zero-day de la vulnerabilidad, junto con la alta prevalencia de Microsoft Defender en entornos empresariales, multiplica el riesgo. Recomiendan adoptar una postura proactiva, reforzando la defensa en profundidad y priorizando la detección temprana de actividades sospechosas sobre la simple reacción a incidentes consumados. El consenso es que, dada la criticidad de la SAM y el potencial para movimientos laterales, las organizaciones deben actuar de inmediato.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el compromiso de la SAM puede derivar en accesos no autorizados a recursos críticos, afectando la confidencialidad, integridad y disponibilidad de los datos (pilares del modelo CIA). Además, cualquier fuga de hashes NTLM puede facilitar ataques dirigidos, poniendo en peligro la continuidad del negocio y exponiendo a sanciones regulatorias bajo el GDPR y la futura NIS2. Los usuarios finales pueden verse afectados por robos de identidad y secuestro de cuentas.

#### Conclusiones

La reciente vulnerabilidad zero-day en Microsoft Defender subraya la necesidad de una gestión activa de parches y la importancia de una arquitectura de seguridad robusta y adaptativa. Ante la explotación activa y el potencial de escalada masiva, se recomienda actuar con urgencia, reforzando tanto las capas preventivas como las de detección y respuesta. Este incidente resalta que incluso las soluciones de seguridad pueden convertirse en vectores de ataque si no se mantienen debidamente actualizadas y monitorizadas.

(Fuente: www.securityweek.com)