Nuevos ataques afectan a Microsoft Defender, el antivirus que viene instalado de forma predeterminada con las versiones más recientes del sistema operativo de Windows. Jonathan Beierle, investigador de seguridad informática, ha publicado en su web, el pasado 28 de agosto, un informe donde habla de cómo están explotando las políticas de Control de Aplicaciones de Windows Defender para desactivar los agentes de Detección y Respuesta de Endpoints, más conocidos como EDR (por sus siglas en inglés).
Esto comenzó como una prueba de concepto que se publicó en diciembre de 2024. Originalmente se denominó «Krueger». Lo que hacía era bloquear selectivamente archivos ejecutables y controladores pertenecientes a los principales proveedores de EDR, como CrowdStrike, SentinelOne, Symantec, Tanium o Microsoft Defender Endpoint.
Amenaza para Windows Defender
El problema es, que esta prueba de concepto se ha convertido en una amenaza activa, que utilizan políticas abusivas para evadir la detección y bloquear por completo las herramientas de seguridad. Esto significa que, aunque tengas un antivirus instalado, no va a funcionar correctamente para detectar y eliminar determinadas amenazas de seguridad.
Esto puede provocar que Krueger impida que los servicios y controladores de EDR se carguen en el sistema objetivo. Esto lo consiguen al colocar la política en la carpeta CodeIntegrity y activar una actualización de la política de grupo.
Tras la divulgación, los piratas informáticos comenzaron a implementar Krueger en la red. Los investigadores han detectado varias muestras nuevas de Krueger, incluyendo los hashes SHA-256 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677 y a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89.
El análisis de estas muestras, ha revelado un conjunto común de reglas de bloqueo que se dirigen a rutas de archivos EDR y nombres de controladores, vinculados a los servicios principales de Microsoft Defender, el antivirus de Windows. Con esto, ha surgido una nueva familia de malware que han denominado “DreamDemon».
Krueger está escrito en .NET, pero DreamDemon está escrito en C++. Cuando se ejecuta, como indican los investigadores de seguridad, escribe la política en C:WindowsSystem32CodeIntegritySiPolicy.p7b.
Cómo evitar problemas
Los investigadores de seguridad, han indicado que para contrarrestar esta amenaza, los equipos de seguridad deben supervisar las claves de registro de Windows DeviceGuard (ConfigCIPolicyFilePath y DeployConfigCIPolicy) para detectar implementaciones de políticas no habituales.
Entre otras cosas, puede ocurrir que un archivo .PDF se haga pasar por un binario de WDAC. Es clave también revisar muy bien qué tipo de archivos descargas y no cometer errores si, por ejemplo, te envían alguno malicioso por correo electrónico. No basta con tener un antivirus instalado, sino que es clave mantener el sentido común.
También te recomendamos que tengas actualizado tu sistema, lo cual ayudará a los antivirus a detectar las amenazas más recientes y corregir vulnerabilidades que pueda haber en tu sistema. Asegúrate siempre de contar con las últimas versiones disponibles, sea cual sea el tipo de programa que vayas a utilizar.
En definitiva, un nuevo problema afecta a Microsoft Defender. Se trata de una prueba de concepto originaria, que están utilizando ya en diferentes variedades de malware para lograr que el antivirus no actúe correctamente. Es imprescindible tomar medidas preventivas, como es tener el sistema actualizado y no cometer errores.
Preguntas frecuentes
¿Es suficiente con tener Windows Defender instalado?
Tener un antivirus, es muy importante. Sin embargo, no es suficiente para mantener la seguridad. Necesitas evitar cometer errores y tener todo actualizado.
¿Qué pasa si Windows Defender deja de funcionar bien?
Podrían infectar tu equipo con un malware y no vas a poder detectarlo, por lo que robarán tus datos y contraseñas.
¿Qué puedo hacer para evitar malware?
Asegúrate de instalar únicamente programas oficiales. Revisa también que tienes todo actualizado y no hagas clic en enlaces peligrosos.
