No está siendo el mejor mes para Microsoft en cuanto a seguridad de su sistema operativo. Si hace unas semanas descubrían que Windows Defender podía ser utilizado para descargar ficheros de ubicaciones remotas, en esta ocasión el problema se encuentra en Windows Update. La herramienta de actualizaciones de Windows incluye una sorpresa algo desagradable.
En el caso de Windows Defender, el comando «MpCmdRun.exe» permite la descarga de archivos desde Internet. Este comando, realmente, no supone un fallo de seguridad y es utilizado por el motor de antivirus para descargar actualizaciones. El problema es que puede descargar, también, binarios que introduzcan malware en el equipo. Sin embargo, no es posible su ejecución con privilegios de administrador.
Windows Update permite la ejecución de binarios maliciosos
El problema de Windows Defender se podría decir que es una simple característica, a no ser que contemos con una herramienta que permita la ejecución de archivos en Windows. Esta herramienta, como han informado desde Bleeping Computer, es Windows Update. De igual manera, el actualizador cuenta con una herramienta de línea de comandos que permite la ejecución de archivos.
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Aunque la herramienta, como vemos, está pensada para la ejecución de DLLs, es realmente sencillo engañar al sistema operativo e introducir como DLL algo que realmente no lo es. Además, este truco consigue evitar el Control de Cuentas de Usuario (UAC) y el Control de Aplicaciones de Windows Defender (WDAC). Por lo tanto, evita todas las protecciones y se ejecuta con los privilegios más altos.
Aunque Microsoft no ha compartido demasiados detalles, según el investigador David Middlehurst, el truco ha sido por atacantes en múltiples ocasiones. Mientras tanto, los de Redmond han eliminado la capacidad de Windows Defender de descargar archivos. Por lo tanto, cierran la puerta de entrada al sistema operativo. Veremos cómo acaban resolviendo el tema de Windows Update.
