Las fallas de seguridad en ocasiones son provocadas por los productos que deberían prevenir los ataques. Especialistas en ciberseguridad detectaron una falla en una actualización de Microsoft Defender para Windows 10 que permitiría la descarga de malware y otros archivos maliciosos en el sistema comprometido.
La explotación de esta falla permitiría a los actores de amenazas desplegar ataques posteriores, principalmente de la variante conocida como living-off-the-land. Al parecer la falla está relacionada con la línea de comandos MpCmdRun.exe, que ha sido abusada para descargar archivos maliciosos desde ubicaciones remotas. Este es un problema que ha afectado a muchas otras aplicaciones para sistemas Windows.
La falla fue reportada por el experto en seguridad informática Mohammad Askar, quien menciona que la más reciente actualización de Microsoft Defender incluye un nuevo argumento identificado como -DownloadFile. Esta nueva característica permite a los usuarios locales utilizar una utilidad de la línea de comandos de Microsoft Antimalware para descargar archivos desde ubicaciones locales empleando el siguiente comando:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Los expertos de BleepingComputer realizaron múltiples pruebas, detectando que la característica fue incluida en las versiones 4.18.2007.9 o 4.18.2009.9.
Durante la prueba los expertos lograron descargar un archivo resources.exe, una muestra de la variante de ransomware WastedLocker empleada en un reciente ciberataque.
Por fortuna no todo son malas noticias, pues esta falla no impide que Microsoft Defender descargue archivos maliciosos descargados abusando de MpCmdRun.exe, aunque aún no está comprobado si otras soluciones antivirus permiten que el programa eluda sus restricciones. Por el momento Microsoft no ha comentado nada sobre el hallazgo, aunque es probable que no se le considere como una vulnerabilidad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.