- Actores maliciosos explotan WDAC para impedir la carga de EDR, incluido Microsoft Defender.
- La amenaza DreamDemon surge de la PoC Krueger y modifica SiPolicy.p7b.
- Claves de registro de DeviceGuard y binarios WDAC disfrazados de PDF actúan como señales.
- Actualizar Windows y reforzar WDAC/EDR es esencial para mitigar el riesgo.
En las últimas semanas, investigadores han detectado que grupos de amenazas están aprovechando las políticas de Windows Defender Application Control (WDAC) para dejar fuera de juego soluciones de seguridad, afectando a agentes EDR y al propio Microsoft Defender en entornos corporativos.
Según detalló el 28 de agosto el experto Jonathan Beierle, los atacantes manipulan la configuración de integridad de código del sistema para que los servicios de defensa no lleguen a cargarse, lo que abre la puerta a intrusiones con menor probabilidad de ser detectadas.
Qué está pasando
La técnica observada consiste en alterar las políticas de control de aplicaciones de Windows para bloquear binarios y controladores de seguridad. El objetivo es impedir el arranque de componentes críticos de EDR, entre ellos Microsoft Defender Endpoint, reduciendo la visibilidad y capacidad de respuesta del equipo de seguridad.
El cambio clave se centra en el archivo de políticas de integridad de código SiPolicy.p7b, ubicado en C:\Windows\System32\CodeIntegrity\. Al modificarlo, los atacantes aplican reglas de bloqueo que afectan a rutas y drivers asociados a soluciones de protección, neutralizando su ejecución desde el inicio del sistema.
Del proyecto Krueger a la amenaza DreamDemon
Lo que empezó como una prueba de concepto denominada Krueger (publicada a finales de 2024) ha evolucionado hacia una familia de malware más pulida, bautizada como DreamDemon. Mientras Krueger estaba escrito en .NET y mostraba el camino, DreamDemon se ha reimplementado en C++, incrementando su eficacia y resistencia.
Al ejecutarse, DreamDemon modifica políticas WDAC para impedir que se carguen servicios y controladores de proveedores de seguridad como CrowdStrike, SentinelOne, Symantec, Tanium y el propio Microsoft Defender. Con ello, el adversario reduce drásticamente las barreras defensivas antes de desplegar cargas útiles adicionales.
Indicadores y señales a vigilar
Los analistas han identificado muestras activas que los equipos de seguridad pueden usar como referencia en sus búsquedas de amenazas, incluyendo hashes SHA-256 vinculados a esta actividad.
- Hash observado: 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677
- Hash observado: a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89
También conviene monitorizar Windows DeviceGuard en busca de despliegues de políticas WDAC no autorizados. Las claves de registro más relevantes a vigilar son ConfigCIPolicyFilePath y DeployConfigCIPolicy, cuya modificación puede delatar intentos de sabotaje.
Otra señal habitual es la distribución de falsos documentos (por ejemplo, supuestos PDF) que en realidad actúan como binarios de WDAC para aplicar políticas maliciosas. Este tipo de señuelos encaja con campañas que buscan persistencia y desactivación silenciosa de defensas.
Recomendaciones y mitigación
Para reducir el riesgo, los expertos recomiendan endurecer la superficie de ataque en torno a WDAC y a los componentes de Microsoft Defender, además de reforzar controles de cambio y telemetría.
- Implementar control de cambios sobre SiPolicy.p7b y validar firmas/autoría antes de aplicar nuevas políticas WDAC.
- Restringir privilegios de administrador y exigir MFA para tareas de seguridad y despliegue de políticas.
- Auditar y alertar sobre modificaciones en DeviceGuard (ConfigCIPolicyFilePath, DeployConfigCIPolicy) y eventos de Code Integrity.
- Activar y verificar la Protección contra alteraciones (Tamper Protection) de Microsoft Defender en todos los endpoints.
- Endurecer EDR/AV: listas de permitidos controladas, bloqueo de controladores no firmados y revisión periódica de reglas.
- Priorizar actualizaciones de Windows y aplicaciones para cerrar vulnerabilidades y mejorar detección.
- Formación al usuario: desconfianza ante adjuntos y «PDF» inesperados, verificación del origen antes de abrir archivos.
Impacto para empresas y administraciones
Si el atacante consigue impedir la carga de EDR y Microsoft Defender, el entorno queda con una visibilidad muy limitada, lo que complica detectar movimientos laterales, exfiltración de datos o la preparación de ransomware. Este silenciamiento de defensas supone un cambio de juego para SOC y equipos de respuesta.
La evolución de Krueger a DreamDemon muestra que las técnicas contra WDAC han madurado. Por ello, elevar la observabilidad sobre políticas de integridad de código y reforzar la cadena de confianza del endpoint es ahora más necesario que nunca.
La evidencia disponible apunta a que la manipulación de WDAC para bloquear agentes de seguridad, incluido Microsoft Defender, representa una amenaza práctica y en expansión: requiere controles de cambio estrictos, monitorización de DeviceGuard, verificación de políticas y una política de actualizaciones y endurecimiento constante para no dejar grietas a los atacantes.
