Hace unas semanas, Microsoft introdujo una función en su antivirus Windows Defender que desde el primer momento ha llamado ha generado una completa desconfianza por parte de los expertos en seguridad: la posibilidad de descargar archivo directamente desde el antivirus. Microsoft aseguraba que la función era segura, mientras que todo tipo de investigadores han estado demostrando lo contrario. Un atacante podría aprovecharse de esta función para enviar software maligno a cualquier ordenador de forma remota. Y, por ello, finalmente Microsoft ha decidido eliminar esta función de su antivirus, al menos por ahora.
Una de las técnicas más utilizadas por los piratas informáticos para atacar todo tipo de ordenadores es la que se conoce como LOLBIN. Esta técnica básicamente lo que permite es aprovecharse de programas legítimos de los sistemas operativos, como Finger, o la herramienta MpCmdRun de Windows Defender, para llevar a cabo actividades ilegales como el robo de datos o en envío de malware.
La nueva función de descarga de Windows Defender llegó como el parámetro -File del programa MpCmdRun.exe. A este parámetro le podíamos agregar una URL cualquiera y una ruta donde guardar el archivo y el ejecutable se encargaría de bajarlo y guardarlo en el ordenador.
Es muy fácil usar este comando para descargar ransomware y troyanos. Basta con ejecutar un comando de CMD en un script o en una macro de Word y nuestro PC ya estará comprometido. Y, aunque el antivirus debería detectar la amenaza si está activo, puede que al ser una herramienta del sistema Windows, y otros programas de seguridad, no sospechen de ella. Y, al final, es cuando nuestro PC se pone en peligro.
motor de descargas y actualizaciones, además de su sistema para enviar muestras de los archivos peligrosos que se detecten. Por ello, no es necesario tener un parámetro, en uno de los ejecutables del antivirus, que nos permita bajar archivos de Internet.
No sabemos por qué a Microsoft le dio por incluir esta característica. Puede que estuviera preparando algo más. O simplemente quisiera añadir funciones totalmente absurdas, innecesarias y peligrosas a su software de seguridad. Pero, sea como sea, un antivirus no tiene que tener ningún componente que permita bajar archivos. Cuando más sencillo sea este tipo de software, mejor. Lo importante es que nos proteja adecuadamente.