Windows defender puede literalmente descargar virus a tu equipo

Tras la última actualización que ha recibido Windows Defender, se ha descubierto una vulnerabilidad que podría acabar siendo aprovechada por hackers para (irónicamente) «descargar virus en tu equipo«.

Windows Defender es el software de seguridad y protección que viene incorporado con el propio sistema operativo, gratuito y relativamente fácil de usar, ya que él solo, sin la interacción del usuario, se encargará de escanear cualquier archivo que entre en el sistema.

Cualquier software a día de hoy puede ser susceptible a fallos en su desarrollo, y esta vez ha sido el turno de Windows Defender, ya que con su última actualización, uno de sus componentes permitiría a hackers utilizar Windows Defender para descargar virus o malware a tu equipo.

El fallo de Windows Defender que permite descargar virus

El investigador independiente Mohammad Askar, publicó en su twitter cómo había utilizado un componente interno de Windows Defender para descargar un ejecutable de la red. El componente en cuestión es MpCmdRun.exe y que recientemente ha recibido una actualización, gracias a la que permitiría descargar virus o cualquier tipo de malware a una máquina objetivo.

Este componente tiene sus funciones, y es que Windows Defender lo puede utilizar para descargar las nuevas firmas de detecciones de archivos o nuevos componentes para el propio software. Pero parece que desde Microsoft no han impuesto ningún tipo de control y/o limitación sobre el contenido que se va a descargar. Así que puede ser usado para descargar cualquier archivo de la red.

El componente MpCmdRun.exe puede utilizarse desde la consola (terminal) de Windows para descargar cualquier archivo de la red y guardarlo en la ruta deseada en el sistema, sin importar si el usuario tiene permisos sobre ese directorio o no.

Well, you can download a file from the internet using Windows Defender itself.

In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt

— Askar (@mohammadaskar2) September 2, 2020

¿Cómo puede ser explotado el nuevo fallo?

Esta técnica no es nueva, y ya se bautizó como LolBins o por sus siglas, «Living Off The Lands«. El método basa su funcionalidad en componentes que ya se encuentran instalados en la máquina ‘victima’, y se aprovechan de fallos conocidos o tipo ‘día cero’ para ‘colar’ un archivo fraudulento.

Lo malo para la víctima es que creerá que es el propio software, en este caso Windows Defender, el que está operando y por tanto no sospechará nada. Ahora bien, si tenemos en cuenta que todas las máquinas con Windows Defender son susceptibles de ser atacadas, estaríamos hablando de la posibilidad de realizar un ataque a gran escala.

Los nuevos archivo también son analizados por Windows Defender

A pesar de este fallo en dicho componente, Windows Defender sigue analizando todos los archivos que entran al equipo, aunque se hayan descargado con MpCmdRun.exe. Así que de todos modos, si el archivo descargado ya es un virus o malware reconocido, Windows Defender lo limpiará automáticamente.

Aunque los investigadores que están con el caso, creen que podría ser una de las mejores maneras de infectar máquinas con virus o malware que aún no hayan sido reconocidos por las firmas de antivirus. De este modo, tras descargar un ejecutable para la posterior infección, ni Windows defender ni ningún otro antivirus detectará dicho archivo.