Logotipo de Windows Defender

Logotipo de Windows Defender

Software

El antivirus de Windows puede servir para descargar... virus

La última actualización de Windows Defender, el antivirus de Microsoft, puede ser usada por hackers para descargar e instalar virus en nuestro sistema, según investigadores.

4 septiembre, 2020 18:23

Noticias relacionadas

Windows Defender es uno de los mejores antivirus que podemos usar, y lo mejor es que no tenemos que hacer nada para ello; ya viene preinstalado por defecto en Windows 10, y automáticamente se encargará de protegernos de amenazas como virus y otro tipo de malware.

Aunque Defender ha demostrado estar a la altura de otras soluciones, no se salva de su ración de problemas; aunque el último que ha sido descubierto es tal vez el más irónico posible: Defender puede servir para descargar virus.

No lo decimos en el sentido de que el programa pueda descargar nuevas definiciones de virus para protegernos mejor, sino que literalmente puede descargar un virus para que se ejecute en el sistema; y todo, por un aparente problema descubierto por el investigador de seguridad Mohammad Askar.

El antivirus de Windows puede descargar virus

El problema está en un compontente de Windows Defender, llamado MpCmdRun.exe que ha recibido una actualización recientemente con el que ha ganado la funcionalidad de descargar archivos de una localización remota.

Hay muchas razones por las que eso puede ser útil, como por ejemplo, la mencionada técnica de descargar nuevas definiciones de virus o para descargar nuevos componentes; sin embargo, Microsoft no parece haber impuesto limitaciones a esta herramienta, y como resultado, puede ser abusada por un atacante fácilmente.

Windows Defender de Windows 10 ahora puede ser usado para descargar archivos

Windows Defender de Windows 10 ahora puede ser usado para descargar archivos Bleeping Computer Omicrono

El programa se puede usar desde la línea de comandos de Windows, accesible con la nueva terminal, por ejemplo. Desde ahí, si usamos la opción "-DownloadFile" y añadimos la URL que queramos, el programa descargará el archivo que indiquemos y donde lo indiquemos.

Cómo puede ser abusado

Parece bastante inocuo, pero eso también significa que es posible indicar cualquier dirección de Internet para descargar; por lo tanto, un atacante podría poner un virus en un servidor externo, y usar este programa para descargarlo en nuestro ordenador.

Este tipo de ataque se conoce como "LOLBins" ("Living off the Land"); consiste en aprovecharse de un programa que ya está instalado en el ordenador de la víctima para ocultar actividades maliciosas, como descargar malware o borrar archivos.

Como parece que es el programa el que lo está haciendo, el usuario puede no sospechar, y el atauqe puede pasar desapercibido por antivirus y otras medidas de seguridad. Windows Defender, al estar en todas las instalaciones de Windows 10 y ser un programa fiable, es ideal para este tipo de ataques.

Afortunadamente, esta no es una manera de saltarse la seguridad de Windows Defender, ya que los archivos descargados de esta manera también son analizados; por lo tanto, aunque es posible descargar el archivo, Defender puede detectarlo como un virus y protegernos.

Sin embargo, los expertos creen que esto puede abrir la puerta al abuso de esta función, por ejemplo, si el usuario usa otro antivirus o si Defender no es capaz de detectar el virus.

Este tipo de ataque supone que el hacker tiene acceso a nuestro ordenador, como por ejemplo, si lo hemos dejado sin atender o si ha conseguido entrar de manera remota; por lo tanto, se puede evitar si tomamos las precauciones adecuadas (recuerda siempre bloquear tu ordenador si estás en un sitio público).

Eso no quita que la ironía de este caso sea chocante, por supuesto.