Microsoft comienza a eliminar WMIC en Windows, frustrará los ataques

Microsoft está avanzando con la eliminación de la herramienta de línea de comandos de instrumentación de administración de Windows (WMIC), wmic.exe, comenzando con las últimas compilaciones de vista previa de Windows 11 en el canal Dev.

WMIC.exe es un programa integrado de Microsoft que permite el acceso desde la línea de comandos al Instrumental de administración de Windows.

Con esta herramienta, los administradores pueden consultar el sistema operativo para obtener información detallada sobre el hardware instalado y la configuración de Windows, ejecutar tareas de administración e incluso ejecutar otros programas o comandos.

Microsoft anunció el año pasado que había comenzado a desaprobar wmic.exe en Windows Server a favor de Windows PowerShell, que también incluye la capacidad de consultar el Instrumental de administración de Windows.

"La herramienta WMIC está obsoleta en Windows 10, versión 21H1 y la versión 21H1 del Canal de disponibilidad general de Windows Server. Esta herramienta es reemplazada por Windows PowerShell para WMI", explica la lista de características obsoletas de Windows.

"Nota: esta obsolescencia solo se aplica a la herramienta de administración de línea de comandos. WMI en sí no se ve afectado".

Como señaló por primera vez el investigador de seguridad Grzegorz TworekMicrosoft ahora ha comenzado a eliminar WMIC de los clientes de Windows, comenzando con las compilaciones de vista previa de Windows 11 en el canal Dev.

BleepingComputer ha confirmado de forma independiente que desde al menos la compilación 22523 y posteriores, WMIC ya no está disponible en las compilaciones de vista previa de Windows 11 en el canal 'Dev', pero Microsoft podría haberlo eliminado en compilaciones anteriores.

Es probable que veamos a Microsoft expandir la obsolescencia de WMIC.exe a la versión general de Windows 11 y posiblemente a Windows 10 en el futuro.

Si bien la eliminación de WMIC.exe puede hacer que algunos de sus scripts o tareas de administración diaria dejen de funcionar, puede transferir fácilmente estas tareas a PowerShell.

WMIC es comúnmente abusado por los actores de amenazas

En los sistemas Windows, los LoLBins (binarios que viven fuera de la tierra) son ejecutables firmados por Microsoft que los actores de amenazas abusan para evadir la detección mientras realizan tareas maliciosas.

Algunas herramientas legítimas de Windows de las que abusan los actores de amenazas incluyen, entre otras, Microsoft Defender, Windows Update, CertUtil e incluso el comando Windows Finger.

WMIC.exe se ha considerado durante mucho tiempo un LOLBIN, ya que los actores de amenazas abusan de él para una amplia gama de actividades maliciosas.

Por ejemplo, los encriptadores de ransomware comúnmente usan el comando WMIC para eliminar las instantáneas de volumen para que las víctimas no puedan usarlas para recuperar archivos.

WMIC.exe shadowcopy delete /nointeractive

Otros actores de amenazas han utilizado WMIC para consultar la lista de software antivirus instalado e incluso desinstalarlos.

WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;

Se ha visto otro malware usando WMIC para agregar exclusiones a Microsoft Defender para que su malware no se detecte cuando se inicie.

WMIC /Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="
WMIC /Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="Temp\"
WMIC /Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionExtension=".dll"
WMIC /Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionProcess="rundll32.exe"

Recientemente, una campaña de phishing usó archivos CSV para infectar dispositivos con el WMIC usado para iniciar un comando de PowerShell que descarga e instala el malware BazarBackdoor.

Al eliminar WMIC, una amplia gama de malware y ataques ya no funcionarán correctamente, ya que no podrán ejecutar varios comandos necesarios para realizar su ataque.

Además, BleepingComputer ha visto cepas de ransomware que dependían de WMIC para buscar información de la CPU y, cuando no podían hacerlo, no se ejecutaban correctamente.

Desafortunadamente, los actores de amenazas solo verán esto como un bache en el camino y reemplazarán WMIC con otros métodos, pero la interrupción, incluso por poco tiempo, vale la pena.