Recientes ataques impactan a Microsoft Defender, el antivirus que se instala por defecto en las versiones más actuales del sistema operativo Windows. El investigador en seguridad informática, Jonathan Beierle, publicó el 28 de agosto un informe en su sitio web, donde detalla cómo las políticas de Control de Aplicaciones de Windows Defender están siendo explotadas para desactivar los agentes de Detección y Respuesta de Endpoints, conocidos como EDR (por sus siglas en inglés).
Esto comenzó como una prueba de concepto lanzada en diciembre de 2024, originalmente llamada «Krueger». Su función era bloquear selectivamente archivos ejecutables y controladores de los principales proveedores de EDR, incluyendo CrowdStrike, SentinelOne, Symantec, Tanium y Microsoft Defender Endpoint.
Amenaza para Windows Defender
El inconveniente es que esta prueba de concepto ha evolucionado en una amenaza activa que utiliza políticas abusivas para eludir la detección y deshabilitar completamente las herramientas de seguridad. Esto implica que, aunque tengas un antivirus instalado, no operará adecuadamente para identificar y eliminar ciertas amenazas de seguridad.
Esto puede llevar a que Krueger impida la carga de los servicios y controladores de EDR en el sistema objetivo, logrando esto al colocar la política en la carpeta CodeIntegrity y activando una actualización de la política de grupo.
Luego de su divulgación, los hackers comenzaron a implementar Krueger en diversas redes. Los investigadores han encontrado varias muestras nuevas de Krueger, incluyendo los hashes SHA-256 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677 y a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89.
El análisis de estas muestras ha revelado un conjunto de reglas de bloqueo que apuntan a rutas de archivos EDR y nombres de controladores vinculados a los servicios principales de Microsoft Defender, el antivirus de Windows. De esta forma, se ha originado una nueva familia de malware llamada “DreamDemon».
Krueger está escrito en .NET, en tanto que DreamDemon está desarrollado en C++. Según los analistas de seguridad, al ejecutarse, escribe la política en C:WindowsSystem32CodeIntegritySiPolicy.p7b.
Cómo prevenir inconvenientes
Los expertos en seguridad sugieren que, para contrarrestar esta amenaza, los equipos de seguridad deben monitorear las claves de registro de Windows DeviceGuard (ConfigCIPolicyFilePath y DeployConfigCIPolicy) en busca de implementaciones de políticas inusuales.
Además, es posible que un archivo .PDF pretenda hacerse pasar por un binario de WDAC. También es fundamental revisar cuidadosamente los archivos que descargas y estar alerta ante posibles archivos maliciosos que puedan ser enviados por correo electrónico. No es suficiente con tener un antivirus instalado; mantener el sentido común es esencial.
Asimismo, se recomienda mantener tu sistema actualizado, lo que ayudará a los antivirus a identificar las amenazas más recientes y a corregir vulnerabilidades existentes. Asegúrate de contar siempre con las versiones más recientes de cualquier programa que utilices.
En resumen, Microsoft Defender enfrenta un nuevo desafío. Se ha originado de una prueba de concepto que ahora se utiliza en diversas variantes de malware para lograr que el antivirus no funcione adecuadamente. Es fundamental tomar medidas preventivas, como mantener el sistema actualizado y evitar errores.
Preguntas frecuentes
¿Es suficiente con tener Windows Defender instalado?
Contar con un antivirus es muy importante. Sin embargo, no es suficiente para garantizar la seguridad. Es necesario evitar errores y mantener todo actualizado.
¿Qué sucede si Windows Defender deja de funcionar correctamente?
Tu equipo podría ser infectado por malware sin que puedas detectarlo, lo que podría resultar en el robo de tus datos y contraseñas.
¿Qué puedo hacer para prevenir el malware?
Asegúrate de instalar únicamente programas oficiales. También verifica que todo esté actualizado y evita hacer clic en enlaces peligrosos.
