Microsoft elimina esta polémica función de Windows Defender

Microsoft elimina esta polémica función de Windows Defender

Rubén Velasco

 

Hace unas semanas, Microsoft introdujo una función en su antivirus Windows Defender que desde el primer momento ha llamado ha generado una completa desconfianza por parte de los expertos en seguridad: la posibilidad de descargar archivo directamente desde el antivirus. Microsoft aseguraba que la función era segura, mientras que todo tipo de investigadores han estado demostrando lo contrario. Un atacante podría aprovecharse de esta función para enviar software maligno a cualquier ordenador de forma remota. Y, por ello, finalmente Microsoft ha decidido eliminar esta función de su antivirus, al menos por ahora.

Una de las técnicas más utilizadas por los piratas informáticos para atacar todo tipo de ordenadores es la que se conoce como LOLBIN. Esta técnica básicamente lo que permite es aprovecharse de programas legítimos de los sistemas operativos, como Finger, o la herramienta MpCmdRun de Windows Defender, para llevar a cabo actividades ilegales como el robo de datos o en envío de malware.

La nueva función de descarga de Windows Defender llegó como el parámetro -DownloadFile del programa MpCmdRun.exe. A este parámetro le podíamos agregar una URL cualquiera y una ruta donde guardar el archivo y el ejecutable se encargaría de bajarlo y guardarlo en el ordenador.

Es muy fácil usar este comando para descargar ransomware y troyanos. Basta con ejecutar un comando de CMD en un script o en una macro de Word y nuestro PC ya estará comprometido. Y, aunque el antivirus debería detectar la amenaza si está activo, puede que al ser una herramienta del sistema Windows, y otros programas de seguridad, no sospechen de ella. Y, al final, es cuando nuestro PC se pone en peligro.

Windows Defender

Windows Defender ya no permite descargar archivos

Hace unas horas, Microsoft lanzaba una nueva actualización silenciosa de su antivirus, la 4.18.2009.2-0. Esta versión básicamente lo que ha hecho ha sido eliminar la posibilidad de usar MpCmdRun.exe para descargar archivos. Es decir, se ha eliminado el parámetro DownloadFile de la herramienta.

No es necesario que hagamos nosotros nada más. El antivirus se actualiza automáticamente en todos los ordenadores que lo tengan activado de manera que, desde hace unas horas, ya no hay equipos que puedan usar esta LOLBIN para descargar software malicioso. Los usuarios que aún no haya estado conectados a Internet descargarán la nueva versión del antivirus en cuanto se conecten.

¿Tiene sentido bajar archivos desde un antivirus?

No sabemos por qué a Microsoft le dio por lanzar esta característica. Windows Defender ya tiene su propio motor de descargas y actualizaciones, además de su sistema para enviar muestras de los archivos peligrosos que se detecten. Por ello, no es necesario tener un parámetro, en uno de los ejecutables del antivirus, que nos permita bajar archivos de Internet.

No sabemos por qué a Microsoft le dio por incluir esta característica. Puede que estuviera preparando algo más. O simplemente quisiera añadir funciones totalmente absurdas, innecesarias y peligrosas a su software de seguridad. Pero, sea como sea, un antivirus no tiene que tener ningún componente que permita bajar archivos. Cuando más sencillo sea este tipo de software, mejor. Lo importante es que nos proteja adecuadamente.