El antivirus de Schrödinger: ¿la protección está viva o muerta?

Cómo la herramienta de investigación Defendnot desactiva Microsoft Defender al registrar un antivirus falso y por qué no siempre debes confiar en lo que dice tu sistema operativo.

En la actualidad, muchas empresas aplican una política de trae tu propio dispositivo (BYOD), que permite a los empleados usar sus propios dispositivos con fines laborales. Esta práctica es especialmente frecuente en organizaciones que adoptan el trabajo remoto. BYOD trae muchas ventajas obvias, pero su implementación crea nuevos riesgos para las empresas en términos de ciberseguridad.

Para proteger los sistemas de las amenazas, los departamentos de seguridad de la información a menudo requieren que se instale software de seguridad en todos los dispositivos que se utilizan para el trabajo. Al mismo tiempo, algunos empleados, especialmente los expertos en tecnología, pueden considerar el software antivirus más un obstáculo que una ayuda.

No es la actitud más sensata, pero convencerlos de lo contrario puede ser difícil. El principal problema es que los empleados que creen que saben más pueden encontrar una forma de engañar al sistema. Hoy, investigamos uno de esos métodos: una nueva herramienta de investigación conocida como Defendnot, que desactiva Microsoft Defender en dispositivos Windows al registrar un software antivirus falso.

Cómo no-defender se abrió paso usando antivirus falsos para desactivar Microsoft Defender

Para comprender exactamente cómo Defendnot desactiva Microsoft Defender, debemos retroceder un año. En ese entonces, un investigador con el alias es3n1n en la plataforma X, creó y publicó la primera versión de la herramienta en GitHub. Conocida como no-defender, la herramienta se encargaba de desactivar el antivirus integrado de Windows Defender.

Para realizar esta tarea, es3n1n aprovechó una debilidad en la API del Centro de seguridad de Windows (WSC). A través de ella, el software antivirus informa al sistema de que está instalado y listo para comenzar a proteger el dispositivo en tiempo real. Al recibir dicho mensaje, Windows desactiva automáticamente Microsoft Defender para evitar conflictos entre diferentes soluciones de seguridad que se ejecutan en el mismo dispositivo.

Usando el código de una solución de seguridad existente, el investigador creó su propio antivirus falso que se registró en el sistema y pasó todas las comprobaciones de Windows. Una vez desactivado Microsoft Defender, el dispositivo quedaba desprotegido, ya que no-defender no ofrecía una protección propia.

El proyecto no-defender rápidamente atrajo seguidores en GitHub, en donde recibió más de dos mil estrellas. Sin embargo, la empresa desarrolladora del antivirus cuyo código se reutilizó presentó una denuncia por infracción de la Ley de derechos de autor de la era digital (DMCA). Por lo tanto, es3n1n se vio obligado a eliminar el código del proyecto de GitHub, dejando solo una página de descripción.

Cómo Defendnot reemplazó a no-defender

Pero la historia no termina ahí. Casi un año después, el programador de Nueva Zelanda MrBruh animó a es3n1n a desarrollar una versión de no-defender que no se basara en código de terceros. Entusiasmado por el desafío y la falta de sueño, es3n1n escribió una nueva herramienta en solo cuatro días, que se llamó Defendnot.

En el corazón de Defendnot había una DLL simulada que se hacía pasar por un antivirus legítimo. Para omitir todas las comprobaciones de la API de WSC, incluida la función Protected Process Light (PPL), las firmas digitales y otros mecanismos, Defendnot inyecta su DLL en Taskmgr.exe, que está firmado y que Microsoft ya considera de confianza. Luego, la herramienta registra el antivirus falso, lo que hace que Microsoft Defender se apague inmediatamente y deje el dispositivo sin protección activa.

Además de eso, Defendnot permite al usuario asignar cualquier nombre al “antivirus”. De manera similar a su predecesor, este proyecto se convirtió en un éxito en GitHub, con 2100 estrellas al momento de escribir este artículo. Para instalar Defendnot, el usuario debe tener derechos de administrador (que los empleados probablemente tengan en sus dispositivos personales).

Cómo proteger la infraestructura corporativa del uso indebido de BYOD

Defendnot y no-defender se posicionan como proyectos de investigación, y ambas herramientas demuestran cómo pueden manipularse los mecanismos de los sistemas de confianza para desactivar las funciones de protección. La conclusión es obvia: no siempre se puede confiar en lo que dice Windows.

Por lo tanto, para no poner en peligro la infraestructura digital de tu empresa, recomendamos reforzar tu política de BYOD con una serie de medidas de seguridad adicionales:

  • Siempre que sea posible, obliga a los propietarios de dispositivos BYOD a instalar una protección corporativa fiable administrada por el equipo de seguridad de la información de la empresa.
  • Si esto no es posible, no consideres que los dispositivos BYOD son de confianza simplemente por tener instalado un software antivirus y limita su acceso a los sistemas corporativos.
  • Controla estrictamente los permisos de acceso para garantizar que se corresponden con las responsabilidades laborales de los empleados.
  • Presta especial atención a la actividad del dispositivo BYOD en los sistemas corporativos e implementa una solución de XDR para supervisar anomalías de comportamiento.
  • Forma a tus empleados en los conceptos básicos de la ciberseguridad para que comprendan cómo funciona el software antivirus y por qué no deberían intentar desactivarlo. Para ayudar con esto, Kaspersky Automated Security Awareness Platform te ofrece todo lo que necesitas y mucho más.
Consejos
Suscríbete y recibe nuestras publicaciones en tu correo
  • Para el resto de países