Windows Update es uno de los programas propios del sistema operativo de Microsoft que seguro que todos conocemos. A través de esta plataforma es desde donde bajamos e instalamos los últimos parches para Windows, y las nuevas versiones de Windows 10 cada 6 meses. Aunque en teoría Windows Update debe ser seguro, para evitar que los piratas informáticos puedan aprovecharse de él, un grupo de investigadores ha descubierto que no es así. Estos investigadores han demostrado cómo los piratas informáticos pueden aprovecharse de una debilidad para descargar, instalar y ejecutar malware sin levantar sospechas por parte del antivirus.
El cliente de Windows Update, wuauclt.exe, es un programa que está firmado por Microsoft y que se encuentra dentro del directorio System32 del sistema operativo. Esto significa que el ejecutable cuenta con plenos permisos dentro del sistema operativo. Además, gracias a su firma, no necesita pasar por el software antivirus del PC. Este cliente nos permite buscar nuevas actualizaciones fácilmente desde CMD sin tener que ir al menú de Configuración del sistema operativo.
Sin embargo, el cliente de CMD de Windows Update puede utilizarse también fácilmente para cargar librerías DLL maliciosas con un simple comando.
wuauclt permite usar Windows Update para ejecutar malware
Tal como han demostrado los investigadores de seguridad, un atacante podría usar fácilmente Windows Update para cargar una librería maliciosa en el sistema, con plenos permisos, sin levantar sospechas del antivirus. Lo único que necesita para ello es haber copiado previamente la librería al PC, y conocer la tuya absoluta donde está guardada.
Una vez se cumplan estas condiciones, es posible ejecutar una línea de CMD, como la siguiente, para llevar a cabo esta tarea.
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Al estar firmado digitalmente por Microsoft, este componente permite a los atacantes eludir el antivirus, el control de aplicaciones y la protección de validación del certificado digital. En otras palabras, es indetectable.
La verdad es que es complicado explotar esta debilidad por si sola, ya que tiene que está enfocada a ataques informáticos muy concretos. Sin embargo, el investigador que ha dado con esta debilidad ha encontrado muestras de malware circulando por la red que se aprovechan de esta debilidad.
Una mala combinación junto con Windows Defender o Finger
Recientemente, Microsoft introdujo en una de las herramientas de Defender, MpCmdRun.exe, la posibilidad de descargar archivos de forma remota. Aunque esto estaba pensado sobre todo para motivos de administración, no pasó mucho tiempo hasta que saltaron las alarmas por parte de los investigadores de seguridad. Estos demostraron que podían usar esta herramienta para descargar archivos de forma remota a un PC y pidieron a Microsoft que lo desactivara.
Por suerte, Microsoft ya eliminó esta posibilidad de su antivirus, impidiendo que se pueda usar para bajar archivos de forma remota a cualquier PC. Pero esta no es la única herramienta que permite hacer esto.
Finger, una de las herramientas TCP/IP de Windows. Esta también puede utilizarse para transferir archivos de forma remota a cualquier PC y enviar instrucciones a un servidor de control remoto. De esta manera, los piratas informáticos podrían hacer uso de esta herramienta para transferir una DLL maliciosa a un PC y, mediante otras técnicas, hacer uso de la debilidad de Windows Update para cargar la librería y poner en peligro nuestro PC.