En un giro irónico, Microsoft Windows Defender puede ser usado para descargar malware

Microsoft ha lanzado recientemente una actualización para Windows Defender, que viene con una importante vulnerabilidad que permite a las aplicaciones descargar malware en el equipo host. Al hecho de abusar de los archivos de sistema legítimos para descargar malware se le conoce como un ataque a las bibliotecas "living-off-the-land" (LOLBIN).

El problema existe en la línea de comandos MpCmdRun.exe, que permite a los actores maliciosos descargar un programa malicioso al dispositivo host desde una ubicación remota.

El investigador de seguridad Mohammad Askar ha identificado este problema y lo ha publicado en Twitter. Esta amenaza permite al usuario descargar cualquier archivo desde una ubicación remota utilizando la siguiente línea de comandos:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Revise el Tweet de Mohammad sobre la vulnerabilidad de la línea de comandos antimalware de Windows Defender en la versión 4.18.2009.9.

El ransomware llamado WastedLocker atacó las empresas Garmin a través del argumento de la línea de comandos mencionado anteriormente. Windows Defender podrá detectar la presencia de este archivo malicioso mientras analiza el dispositivo host en busca de programas dañinos, pero por el momento no está claro si otros programas antivirus podrán detectar este archivo.

Los administradores de sistemas deben ser conscientes de este vector de amenaza único que reside en Windows Defender, una solución que se supone que mejora la seguridad de los dispositivos. En el momento de publicar este blog, Microsoft aún no ha corregido esta vulnerabilidad, y se aconseja a los administradores de sistemas que esperen para actualizarse a la última versión una vez que esté disponible un parche. Si ya ha actualizado, revierta la versión anterior hasta que se publique una corrección.

Si utiliza una solución de gestión de parches, puede revertir fácilmente los parches de los dispositivos gestionados. ¿Aún no utiliza una solución de gestión de endpoints? Pruebe ManageEngine Patch Manager Plus.

  Zoho Corp. All rights reserved.