Microsoft Defender: ¿un problema de seguridad?

Iniciado por El_Andaluz, 7 Septiembre 2020, 23:44 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

El_Andaluz

7 Septiembre 2020, 23:44 PM


Durante este fin de semana, la seguridad de Microsoft Defender, anteriormente conocido como Windows Defender, ha sido puesta en entredicho por algunos, al tiempo que otros afirmaban que lo que parecía ser un problema de seguridad, en realidad no era para tanto. He llegado a leer en algún sitio que este supuesto problema de seguridad invalida por completo la propuesta de seguridad del software de Microsoft (sin duda esto es un exceso más propio de la prensa amarilla que de los profesionales de la seguridad IT). Pero bueno, lo mejor será empezar por contar qué ha ocurrido, para después intentar extraer alguna conclusión.

Tenemos que partir de una base que quizá no todo el mundo conoce: Microsoft Defender tiene una utilidad de línea de comando, Microsoft Antimalware Service Command Line Utility. Se trata de una consola desde la que es posible llevar a cabo algunas acciones relacionadas con el software de seguridad (iniciar un análisis, actualizar el motor de escaneo, modificar las firmas, etcétera). Y, en la última versión de la misma, se ha añadido un nuevo comando, DownloadFile, que, como su propio nombre indica, permite descargar archivos desde Internet al ordenador en el que se está empleando.


https://www.muyseguridad.net/2020/09/07/microsoft-defender-seguridad/

el-brujo

#1
8 Septiembre 2020, 20:35 PM
es un precioso LOLBin, pero nada más xD Hay muchos más que forman parte de Windows, bueno este forma parte de Windows Defender  :rolleyes:

https://lolbas-project.github.io/lolbas/Binaries/MpCmdRun/

CitarLOLBins es el nombre abreviado de Living Off the Land Binaries, una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja.

Cualquier ejecutable que venga instalado como parte de su sistema operativo de manera predeterminada que se pueda usar para promover un ataque puede considerarse un LOLBin. Además, los ejecutables agregados por los usuarios con fines legítimos podrían explotarse como un LOLBin, particularmente si es parte de alguna instalación de software de terceros común o ampliamente utilizada. En muchos escenarios, simplemente no es efectivo bloquear LOLBins ya que pueden ser esenciales para la productividad de algunos de los equipos de tu organización.

Fileless malware: ataques malware sin archivos
https://blog.elhacker.net/2020/07/ataques-fileless-malware-tipos-amenazas-scripts-LOLBin.html
Imprimir
Ir Arriba Páginas1
Acciones del Usuario