A la hora de mantener protegido nuestro equipo frente a amenazas externas, de un tiempo a estas parte hemos escuchado todas las bondades que ofrece Microsoft Defender, el sistema de protección antivirus que ya viene integrado de Windows 10 y que evita que de forma forzosa tengamos que instalar una solución de terceros. Podemos instalar otro antivirus, no pasa nada, pero no es obligatorio.
Microsoft Defender funciona realmente bien, de eso no cabe duda, pero no es perfecto, también es cierto. Y eso se pone de manifiesto cuando vemos como la herramienta pensada para proteger nuestro equipo puede ayudarnos a infectarlo con más facilidad gracias a un comando. Ver para creer.
DownloadFile
Se han hecho eco de la noticia los compañeros de BleepingComputer. El responsable de esta posibilidad es un simple comando, el que veis que ilustra este párrafo: DownloadFile. Un comando que permite que al usar Microsoft Defender por medio de la consola de comandos podamos descargar casi cualquier tipo de contenido.
Ha sido el investigador de seguridad, Mohammad Askar, el que ha descubierto que usando la "Consola de comandos" o "Símbolo del sistema" con Microsoft Defender y por medio de la instrucción DownloadFile, permite descargar cualquier archivo y por supuesto _malware_. Lo ha anunciado en su cuenta de Twitter.
Well, you can download a file from the internet using Windows Defender itself.
— Askar (@mohammadaskar2) September 2, 2020
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
Microsoft Defender de esta forma tiene una gran puerta abierta que, si el usuario lo desea, puede convertirse en una gran amenaza sin que el programa actúe para evitar el incendio.
Un fallo, si es que puede denominarse así, presente desde la versión 4.18.2007.9 ó 4.18.2009.9, aún no está claro. Usando el comando DownloadFile, Askar ha logrado descargar malware en su equipo con total impunidad.
Microsoft está al tanto de esta función, ya que como decimos, se incorporó recientemente a Windows Defender. De hecho lo explican así en la página de soporte donde dan cuenta de los posibles comandos y su funcionamiento con Windows Defender.
"Descarga un archivo de la URL dada al directorio dado en la ruta. La ruta también debe tener el nombre del archivo".
Basta entrar en la "Consola de comandos" para usar la instrucción DownloadFile y el sistema no preguntará nada. Introducimos la dirección del contenido a descargar y lo tendremos en nuestro equipo.
Este agujero de seguridad permite, como citan en Bleeping Computer, el que un usuario local use la utilidad de línea de comandos del servicio Microsoft Antimalware (MpCmdRun.exe) para descargar un archivo desde una ubicación remota usando el comando:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
El aspecto positivo es que Microsoft Defender detectará archivos maliciosos descargados con MpCmdRun.exe, pero la duda es si otros antivirus serán capaces de hacer lo mismo.
Es de suponer que este "bug", que de alguna forma hay que llamarlo, será subsanado en breve con una actualización y es que aunque su existencia no provoque en sí que nuestro equipo sea inseguro (al fin y al cabo requiere de nuestra acción), si que puede resultar peligroso en manos malintencionadas.