Microsoft ha anunciado que la herramienta de comandos de comandos de instrumentación de administración de Windows (WMIC) se eliminará después de actualizar a Windows 11 25H2 y más tarde.
WMIC es una herramienta heredada de línea de comandos de Windows Legacy que permite a los usuarios interactuar con el sistema de Instrumentación de Administración de Windows (WMI) utilizando comandos de texto.
En Actualización del centro de mensajes de Microsoft 365Microsoft ahora le aconseja a los administradores que cambien a Windows PowerShell para WMIscripts y otras herramientas porque las versiones posteriores de Windows ya no incluirán WMIC de forma predeterminada.
«Microsoft recomienda usar PowerShell y otras herramientas modernas para cualquier tarea realizada anteriormente con WMIC. Puede considerar alternativas programáticas como la API COM de WMI, las bibliotecas .NET o los lenguajes de secuencias de comandos. Una vez que decida sobre su camino a seguir, actualice su documentación y procesos internos de TI», dijo la compañía.
Sin embargo, este cambio solo se aplica al componente WMIC obsoleto, ya que la instrumentación de administración de Windows (WMI) no se ve afectada.
Una orientación adicional para aquellos que usan WMIC para tareas administrativas están disponibles en este documento de apoyo Publicado por Microsoft el viernes.
Microsoft desaprobó WMIC en Windows Server 2012 (en 2016) y en Windows 10 21h1 (2021). Redmond lo convirtió en una característica a pedido (FOD) que comienza con Windows 11 22H2 (en 2022) y anunció en enero de 2024 que se eliminaría por completo después de deshabilitarlo de manera predeterminada.
«Hemos estado invirtiendo en gran medida en PowerShell en los últimos años. Las nuevas herramientas proporcionan una forma más eficiente de consultar WMI. Eliminar un componente desaprobado ayuda a reducir la complejidad mientras lo mantiene seguro y productivo». Microsoft dijo en enero de 2024.
La eliminación de WMIC también aumentar la seguridad general por frustrar una amplia gama de tácticas de malware y ataque que ya no funcionarán correctamente.
La herramienta tiene mucho sido considerado un lolbin (binario vital-off-the-land), un ejecutable firmado por Microsoft que explotan los actores de amenaza para una amplia gama de actividades maliciosas durante los ataques.
Por ejemplo, los cifrados de ransomware comúnmente usan el comando WMIC para eliminar copias de volumen de sombra, asegurando que las víctimas no puedan usarlas para recuperar datos cifrados. Otros actores de amenaza han usado WMIC para consultar el Lista de software antivirus instalado y desinstalarlo.
También se ha observado malware Uso de WMIC para agregar exclusiones a Microsoft DefenderEvadiendo la detección cuando se lanza.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
