Skip to content
Posted by deweloper Noticias

Detenidas actualizaciones de Windows (también Meltdown) por incompatibilidad de antivirus

Microsoft ha decidido detener por el momento las actualizaciones para corregir la vulnerabilidad Meltdown y que estaban siendo servidas mediante Windows Update. El motivo que aducen para tan importante retraso es una supuesta incompatibilidad por parte de algunos desarrolladores de soluciones antivirus.

Usuarios sin Windows Update, ¿para siempre?

Según informan en una nota aclaratoria, avisan de que muchos usuarios no recibirán ni esta ni el resto de actualizaciones o Parches de los Martes (como se conoce a las actualizaciones regulares de Windows) que aparezcan en el futuro. La culpa es según Microsoft de algunos antivirus, a cuyas compañías se urge a actualizar sus productos para que todo vuelva a la normalidad.

¿Qué deben hacer las marcas para volver a ser compatibles?

La solución parece bastante sencilla a priori, ya que lo único que tienen que hacer es añadir una nueva clave de registro al Registro de Windows cuando actualicen el software. De esta manera Microsoft sabrá que el antimalware es nuevamente compatible y desbloqueará automáticamente la entrega de actualizaciones.

¿Por qué una actualización en el Registro?

La empresa de Redmond ha implantado esta nueva verificación y estará ahí en adelante. Al parecer lo hacen porque se ha detectado que algunas firmas de antivirus causaron cuelgues y pantallazos azules de la muerte (BSOD) en las pruebas realizadas por Microsoft, impidiendo que el sistema arrancase normalmente después.

Existe un problema por el cual algunos desarrolladores de antivirus están usando ciertas técnicas para saltarse la protección de parcheo del Kernel, inyectando un hipervisor que ellos usan para interceptar las syscalls (llamadas de sistema) y realizar cálculos sobre posiciones de memoria -posiciones que ahora mismo están cambiando debido a los parches para Meltdown.

Así lo explica el experto Kevin Beaumont en un post publicado en Medium recientemente, y continúa:

Para ser honestos, algunas de estas técnicas se parecen a las utilizadas por los rootkits -de hecho el Kernel Patch Protection fue introducido por Microsoft hace 10 años para combatirlos- y dado que algunos desarrolladores de antivirus están usando estas técnicas «cuestionables» provocan que los sistemas entren en infinitos loops de reinicios y BSOD.

Las cosas se complican más

En el caso de usuarios que utilizan antivirus de terceros tenemos un problema, porque aunque la mayoría de los importantes ya han actualizado sus productos para que sean compatibles frente a Meltdown a ojos de Microsoft, lo cierto es que algunos requieren que sea el propio usuario quien realice esta operación manualmente.

Los usuarios que no utilizan antivirus (ese señor del fondo, si) y aquellos que utilizan Windows Defender pueden actualizar inmediatamente y no tienen problemas, ya que no necesitan añadir clave alguna al registro. 

Según Beaumont, esto es así porque algunas empresas de anti-malware son conscientes de que muchos clientes podrían estar utilizando su producto junto con otros AV adicionales. Digamos que les da «miedo» actualizar el registro de Windows y desencadenar así un pantallazo azul como consecuencia de que los responsables de otros productos residentes en el equipo no hayan hecho los deberes.

¡Menudo jaleo!

Antivirus, usuarios afectados y soluciones

A fecha de hoy 11 de Enero ya prácticamente todos los antivirus han sido actualizados para establecer dicha clave de registro y por tanto la base de usuarios de Windows afectados por el problema es pequeña. Beaumont guarda en una lista pública los cambios y parches que van siendo lanzados para cada empresa, así que os recomiendo leer detenidamente y buscar el producto si usáis uno de terceros.

Detenidas actualizaciones de Windows

Las conclusiones que podemos sacar de dicho listado son que los principales antivirus del mercado están ya preparados, pero existen ciertos productos empresariales a los que hay que prestar atención:

  • Cisco AMP: requiere creación manual de clave de registro
  • FireEye Endpoint Security: requiere creación manual de clave de registro
  • Palo Alto TRAPS: requiere creación manual de clave de registro

Lo mismo ocurre con otros productos corporativos como VIPRE. El parche aún no está disponible en antivirus domésticos como 360 Total Security.

Soluciones

Bastante sencillo, a grandes rasgos podemos:

  1. Quedarnos con nuestra solución antivirus actual y renunciar de momento a actualizaciones (si confiamos en el proveedor y estamos al tanto de si actualiza o no)
  2. Cambiar a un proveedor de antivirus que sea compatible
  3. También es posible crear manualmente la entrada de registro si nuestro proveedor así lo requiere:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

Desde Bleeping computer han creado un archivo de registro que podemos importar y así hacerlo con un simple clic. Eso sí, recomiendo asegurarse de que aplica en nuestro caso y realizar un punto de restauración o un backup del Registro de Windows como precaución.

Categories

Noticias

Tags

, , , ,

deweloper View All

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja un comentario