Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado.
Microsoft creó el Instrumental de administración de Windows (WMI) para manejar cómo las computadoras con Windows asignan recursos en un entorno operativo. WMI también hace otra cosa importante: facilita el acceso local y remoto a las redes informáticas.
Desafortunadamente, los piratas informáticos de sombrero negro pueden secuestrar esta capacidad con fines maliciosos a través de un ataque de persistencia. Como tal, aquí se explica cómo eliminar la persistencia de WMI de Windows y mantenerse a salvo.
¿Qué es la persistencia de WMI y por qué es peligrosa?
La persistencia de WMI se refiere a un atacante que instala un script, específicamente un detector de eventos, que siempre se activa cuando ocurre un evento de WMI. Por ejemplo, esto ocurrirá cuando el sistema arranque o el administrador del sistema haga algo en la PC, como abrir una carpeta o usar un programa.
Los ataques de persistencia son peligrosos porque son sigilosos. Como se explica en Secuencias de comandos de Microsoft, el atacante crea una suscripción de eventos WMI permanente que ejecuta una carga útil que funciona como un proceso del sistema y limpia los registros de su ejecución; el equivalente técnico de un dodger ingenioso. Con este vector de ataque, el atacante puede evitar ser descubierto a través de la auditoría de línea de comandos.
Cómo prevenir y eliminar la persistencia de WMI
Las suscripciones a eventos de WMI están ingeniosamente programadas para evitar la detección. La mejor manera de evitar ataques de persistencia es deshabilitar el servicio WMI. Hacer esto no debería afectar su experiencia de usuario general a menos que sea un usuario avanzado.
La siguiente mejor opción es bloquear los puertos del protocolo WMI configurando DCOM para usar un solo puerto estático y bloqueando ese puerto. Puedes consultar nuestra guía en como cerrar puertos vulnerables para obtener más instrucciones sobre cómo hacer esto.
Esta medida permite que el servicio WMI se ejecute localmente mientras bloquea el acceso remoto. Esta es una buena idea, especialmente porque el acceso remoto a la computadora viene con su propia cuota de riesgos.
Finalmente, puede configurar WMI para escanear y alertarlo sobre amenazas, como lo demostró Chad Tilbury en esta presentación:
Un poder que no debe estar en las manos equivocadas
WMI es un poderoso administrador de sistemas que se convierte en una herramienta peligrosa en las manos equivocadas. Peor aún, no se necesitan conocimientos técnicos para llevar a cabo un ataque de persistencia. Las instrucciones para crear y lanzar ataques de persistencia WMI están disponibles gratuitamente en Internet.
Por lo tanto, cualquier persona con este conocimiento y acceso breve a su red puede espiarlo de forma remota o robar datos con apenas una huella digital. Sin embargo, la buena noticia es que no hay absolutos en tecnología y ciberseguridad. Todavía es posible prevenir y eliminar la persistencia de WMI antes de que un atacante cause un gran daño.
