Microsoft Defender: ¿un problema de seguridad?

Durante este fin de semana, la seguridad de Microsoft Defender, anteriormente conocido como Windows Defender, ha sido puesta en entredicho por algunos, al tiempo que otros afirmaban que lo que parecía ser un problema de seguridad, en realidad no era para tanto. He llegado a leer en algún sitio que este supuesto problema de seguridad invalida por completo la propuesta de seguridad del software de Microsoft (sin duda esto es un exceso más propio de la prensa amarilla que de los profesionales de la seguridad IT). Pero bueno, lo mejor será empezar por contar qué ha ocurrido, para después intentar extraer alguna conclusión.

Tenemos que partir de una base que quizá no todo el mundo conoce: Microsoft Defender tiene una utilidad de línea de comando, Microsoft Antimalware Service Command Line Utility. Se trata de una consola desde la que es posible llevar a cabo algunas acciones relacionadas con el software de seguridad (iniciar un análisis, actualizar el motor de escaneo, modificar las firmas, etcétera). Y, en la última versión de la misma, se ha añadido un nuevo comando, DownloadFile, que, como su propio nombre indica, permite descargar archivos desde Internet al ordenador en el que se está empleando.

La polémica llegó cuando Mohammad Askar, un experto en seguridad, explicó en Twitter que había podido emplear esta función de la consola de Microsoft Defender para descargar un archivo malicioso. Para ser más concretos, pudo emplear DownloadFile para descargar Cobalt Strike, y lo ilustraba con una imagen del de su escritorio con dos ventanas abiertas, la consola de Microsoft Defender y el software descargado a través de la misma.

En un primer momento, claro, sonaron todas las alarmas, y es que resulta llamativo que una herramienta de una solución de seguridad permita descargar malware. Sin embargo, y analizándolo un poco más en detalle,  surgen algunas preguntas que no está de más hacerse. Y eso, sí, sin perder de vista lo paradójico que puede llegar a resultar que una herramienta diseñada para combatir el malware, como es Microsoft Defender, pueda ser empleada para descargar malware.

Lo que hace que esto, que en principio podría parecer un grave problema de seguridad, en realidad no sea tan trascendente como podría parecer, es que, en realidad, aunque efectivamente se pueda emplear esta función de la consola de Microsoft Defender para descargar malware, tal y como éste llega al sistema, es detectado por el antivirus de Microsoft, evitando así que pueda llevar a cabo sus acciones.

Y sí, claro, si el antivirus no es capaz de identificar el malware como tal, sí que estaríamos hablando de un problema de seguridad, pero es que en tal caso la herramienta empleada para descargar el malware es irrelevante, es decir, que igualmente puede ser descargado con la consola de Microsoft Defender que mediante cualquier navegador instalado en el sistema, un cliente de FTP, etcétera.

Sí que tiene sentido, no obstante, preguntarse hasta qué punto es necesaria la función de descargas en la consola de Microsoft Defender. Puede tener sentido emplearla para descargar algún elemento de seguridad pero, en tal caso, quizá tendría más sentido que en vez de ser una herramienta de descargas al uso, se diseñara una herramienta que apuntara a un repositorio concreto, con cuantos elementos pueda ser necesario descargar desde dicha consola (es decir, que estén directamente relacionados con la misma), y que solo sea posible realizar descargas desde el mismo.

En mi opinión, sí que es cierto que añadir una herramienta de descargas genérica en la consola de Microsoft Defender es, de algún modo, aumentar la superficie de exposición de los sistemas, pues no deja de ser una herramienta más que puede ser empleada para descargar malware en el mismo. Sin embargo, y teniendo en cuenta que es en el sistema donde se realiza la detección del malware

La entrada Microsoft Defender: ¿un problema de seguridad? es original de MuySeguridad. Seguridad informática.