Pueden usar Windows Update para colar malware

Pueden usar Windows Update para colar malware

Javier Jiménez

Son muchas las amenazas que podemos sufrir al navegar por Internet. Muchos tipos de malware que de una u otra forma pueden dañar nuestra seguridad y privacidad. En este artículo nos hacemos eco de cómo pueden abusar de Windows Update para ejecutar programas maliciosos. Un problema que puede afectar a los usuarios del que es el sistema operativo más utilizado hoy en día en equipos de escritorio.

Abusan de Windows Update para colar malware

Siempre decimos que es vital mantener los equipos actualizados. De esta manera podemos evitar posibles vulnerabilidades que sean explotadas por los piratas informáticos para llevar a cabo sus ataques. En este sentido Windows Update actúa como una herramienta básica en el sistema operativo de Microsoft para mantenerlo actualizado correctamente.

Pero ahora Windows Update se acaba de agregar a la lista de LoLBins, que los atacantes pueden usar para ejecutar código malicioso en sistemas de Windows. Básicamente son ejecutables firmados por Microsoft (pueden estar preinstalados o descargados) que son utilizados para evadir la detección.

El cliente WSUS/Windows Update permite buscar nuevas actualizaciones e instalarlas sin tener que utilizar la interfaz de usuario de Windows, sino activarlas desde una ventana del símbolo del sistema.

El uso de la opción /ResetAuthorization permite iniciar una verificación de actualización manual, ya sea en el servidor WSUS configurado localmente o mediante el servicio Windows Update, como indica Microsoft.

Ahora, el investigador de MDSec David Middlehurst, ha descubierto que los atacantes también pueden utilizar wuauclt para ejecutar código malicioso en sistemas Windows 10 cargándolo desde una DLL arbitraria especialmente diseñada con las siguientes opciones de línea de comandos:

wuauclt.exe /UpdateDeploymentProvider[ruta_a_dll]/RunHandlerComServer

Full_Path_To_DLL es la ruta absoluta al archivo DLL especialmente diseñado del atacante que ejecutaría el código al adjuntarlo. Es una técnica de evasión de defensa. Lo hace ejecutando código malicioso desde una DLL cargada mediante un binario firmado de Microsoft, el cliente de Windows Update (wuauclt).

En definitiva, un nuevo problema para la seguridad de Microsoft. En este caso, como hemos visto, afecta a la herramienta Windows Update que puede ser explotada para desplegar malware en los sistemas.

Archivos adjuntos más comunes y malware en el e-mail

Cómo protegernos ante estos problemas de seguridad

Es muy importante que nos protejamos correctamente para no comprometer nuestros equipos. Algo básico es tener instalado un buen antivirus. Tener herramientas de seguridad va a evitar la entrada de malware que pueda afectarnos. Son muchas las opciones que tenemos a nuestra disposición y están disponibles para todo tipo de dispositivos y sistemas operativos.

También debemos contar con las últimas versiones. Son muchos los fallos de seguridad que pueden surgir. Sin embargo los propios desarrolladores y fabricantes lanzan parches para corregirlos. De esta forma podemos evitar problemas que nos afecten.

Por último, aunque quizás lo más importante, el sentido común. Muchas de las amenazas entran por fallos que cometen los propios usuarios. Debemos siempre evitar errores comunes que puedan dañar nuestra seguridad. Por ejemplo no descargar desde fuentes que no sean fiables o no abrir archivos adjuntos que sean sospechosos. Os dejamos un artículo con consejos para mantener la privacidad en la red.