AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**PowerShell refuerza la seguridad: nuevas alertas frente a descargas peligrosas con Invoke-WebRequest**

admin

### 1. Introducción

Microsoft ha anunciado una mejora significativa en el comportamiento de PowerShell orientada a reforzar la postura de seguridad de los sistemas Windows. A partir de las últimas actualizaciones, PowerShell advertirá explícitamente a los usuarios cuando se ejecuten scripts que empleen el cmdlet `Invoke-WebRequest` para descargar contenido de la web. Esta medida busca reducir el uso indebido de PowerShell como vector de ataque y mitigar la proliferación de malware y herramientas de post-explotación en entornos corporativos.

### 2. Contexto del Incidente o Vulnerabilidad

Durante los últimos años, PowerShell se ha consolidado como uno de los principales vectores de ataque en campañas de ciberamenazas, especialmente en la ejecución de scripts automatizados para la descarga y ejecución de payloads maliciosos. El cmdlet `Invoke-WebRequest` ha sido recurrentemente utilizado por actores maliciosos para transferir binarios, scripts adicionales o configuraciones, todo ello sorteando en numerosas ocasiones las soluciones de seguridad tradicionales.

Ante el incremento de ataques fileless y campañas de ransomware que aprovechan la flexibilidad y potencia de PowerShell, Microsoft ha tomado la iniciativa de fortalecer los controles nativos y aumentar la visibilidad para administradores y usuarios avanzados.

### 3. Detalles Técnicos

El cambio anunciado afecta a PowerShell en sistemas Windows actualizados. Desde ahora, cada vez que un script (o comando interactivo) intente utilizar `Invoke-WebRequest` para acceder o descargar recursos desde Internet, PowerShell mostrará una advertencia visible, informando del riesgo potencial asociado a la operación.

**CVE y Referencias Técnicas:**
Aunque esta medida no responde a una vulnerabilidad concreta (no hay CVE asignado), sí forma parte de la estrategia de “defensa en profundidad” frente a técnicas identificadas en MITRE ATT&CK, como:

– **T1105 – Ingress Tool Transfer:** Uso de herramientas legítimas (PowerShell) para transferir archivos/malware a sistemas comprometidos.
– **T1059.001 – Command and Scripting Interpreter: PowerShell:** Ejecución de comandos y scripts directamente en el sistema objetivo.

**Indicadores de Compromiso (IoC):**
– Registro de eventos de ejecución de PowerShell con `Invoke-WebRequest`.
– Descargas de archivos ejecutables, scripts `.ps1`, `.bat`, `.vbs` o archivos ofuscados a través de URLs sospechosas.
– Uso de frameworks como Metasploit, Cobalt Strike o Empire, que suelen automatizar la descarga de payloads vía PowerShell.

**Versiones afectadas:**
La advertencia afecta a las versiones actualizadas de PowerShell 7.x y Windows PowerShell 5.1, siempre que cuenten con los últimos parches de seguridad publicados a partir de junio de 2024.

### 4. Impacto y Riesgos

El abuso de `Invoke-WebRequest` ha sido un pilar en las cadenas de ataque de ransomware, APTs y malware bancario. Según datos de Mandiant y Microsoft, más del 60% de los ataques de “living-off-the-land” (LOL) en entornos Windows implican el uso de PowerShell, y de estos, un 35% utilizan comandos de descarga directa (como `Invoke-WebRequest` y `Invoke-Expression`).

La ausencia previa de advertencias permitía que usuarios desprevenidos o scripts automatizados descargaran y ejecutaran código malicioso sin obstáculos perceptibles, facilitando la lateralización y persistencia de los atacantes.

### 5. Medidas de Mitigación y Recomendaciones

**Nuevos controles y recomendaciones:**

– Revisar y actualizar a las últimas versiones de PowerShell.
– Desplegar políticas de ejecución restrictivas (`Set-ExecutionPolicy`) y limitar la ejecución de scripts no firmados.
– Monitorizar el uso de `Invoke-WebRequest` y otros cmdlets de red a través de herramientas SIEM y alertas personalizadas.
– Implementar Application Control (AppLocker, WDAC) para restringir el uso de PowerShell a administradores y cuentas de servicio autorizadas.
– Integrar soluciones EDR que detecten anomalías en la actividad de PowerShell, incluyendo la descarga de archivos y la invocación de procesos externos.
– Educar a los usuarios y desarrolladores internos sobre buenas prácticas de scripting seguro.

### 6. Opinión de Expertos

Especialistas en seguridad como Paula Januszkiewicz (CISSP, MVP de Microsoft) destacan que “la visibilidad y advertencia temprana ante operaciones sensibles es esencial para romper la cadena de ataque”. Por su parte, analistas de Red Canary subrayan que “estas notificaciones no sustituyen una configuración adecuada ni el hardening de PowerShell, pero añaden una capa de fricción fundamental para los atacantes”.

### 7. Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, esta nueva funcionalidad supone una oportunidad para reforzar los procedimientos de hardening y concienciación, especialmente en el marco de NIS2 y el cumplimiento del GDPR, donde la prevención de brechas y el control del software legítimo son obligaciones clave. Las empresas podrán reducir el riesgo de ataques internos y automatizados, e incrementar la trazabilidad ante incidentes.

A los administradores de sistemas y analistas SOC, se les abre la posibilidad de afinar la monitorización y respuesta ante alertas relacionadas con PowerShell, integrando este nuevo comportamiento en los playbooks de detección y respuesta.

### 8. Conclusiones

La decisión de Microsoft de mostrar advertencias explícitas en PowerShell ante el uso de `Invoke-WebRequest` refuerza la defensa en profundidad y responde a una tendencia clara: los atacantes seguirán explotando herramientas legítimas mientras el entorno lo permita. Si bien no es una solución definitiva, sí representa una mejora tangible frente a la ejecución inadvertida de código potencialmente peligroso, alineando la estrategia de Microsoft con las mejores prácticas de ciberseguridad corporativa.

(Fuente: www.bleepingcomputer.com)