– Microsoft decidió eliminar una de las caracterÃsticas de Windows Defender. La caracterÃstica es la capacidad de descargar archivos a través del servicio. La decisión se tomó después de que Microsoft recibiera información de que existe un método que utiliza esta función para ingresar al sistema.
Como se informó una semana antes, Microsoft creó en secreto una función en Windows Defender, que puede descargar archivos a través del servicio.
Varios observadores y expertos en seguridad cibernética declararon que cuando se descubrió la vulnerabilidad, asumieron que los piratas informáticos podrÃan usar la polÃtica de Microsoft para permitir que Windows Defender descargue archivos como un método para ingresar a LOLBIN.
LOLBIN significa Living Of The Land Binaries. Este es un archivo en el sistema operativo que a menudo se usa como un lugar para que los piratas informáticos se infiltren para realizar acciones maliciosas.
Además, para poder descargar archivos, los usuarios pueden ejecutar la función de lÃnea de comandos en el Servicio Antimalware de Microsoft (MpCmdRun.exe) con el siguiente código de argumento:
MpCmdRun.exe -DownloadFile -url [url] -sendero [path_to_save_file]
Desafortunadamente, en varias pruebas que se han realizado, Windows Defender pudo descargar casi todo tipo de archivos, incluidos malware y virus, directamente a los dispositivos de Windows.
De hecho, si Windows Defender Security está activo, puede detectar inmediatamente la presencia del malware. Sin embargo, si no está activo, otros antivirus en ejecución no podrán detectarlo, porque asume que el malware es parte de Windows Defender.
Cuando varias partes preguntaron el motivo de Microsoft para lanzar esta función, Microsoft no pudo proporcionar mucha información. Solo podÃan responder con la frase “Microsoft ya no tiene más información para compartir”.
Luego, en la última actualización de Windows Defender (versión de cliente 4.18.2009.2-0), Microsoft volvió a eliminar silenciosamente la función en MpCmdRun.exe.
Los usuarios que intentaron descargar archivos de la forma anterior usando MpCmdRun, ya no podrán descargar. En su lugar, los usuarios recibirán el mensaje de error “Argumento de lÃnea de comando no válido”.
Este problema es bastante serio y no puede ser subestimado. Porque a partir de casos que han pasado, el método LOLBIN no es solo una teorÃa. Este método se usa a menudo en ataques para infiltrarse en ransomware.
