Windows Defender wird zu einer gefährlichen App für Administratoren

Windows Defender in Windows 10 ist die erste Verteidigungslinie im Falle von Malware-Angriffen und tut es auch auch ziemlich gute arbeit.

In einem seiner neuen Updates hat das mächtige Antivirus jedoch einen neuen DownloadFile-Befehl erhalten, mit dem jeder beliebige Dateien von einer URL auf einen bestimmten Pfad auf Ihrem Computer herunterladen kann.

Wir können dies als Exploit bezeichnen, da es auch zum Herunterladen von Malware verwendet werden könnte, was der Sicherheitsforscher Mohammad Askar entdeckt hat, der Gesendet seine Entdeckung auf Twitter.

Wie kann Windows Defender zum Herunterladen von Malware verwendet werden?

Es ist wirklich einfach, das Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) zu verwenden, um jede Datei von einer externen Quelle auf Ihren Computer herunterzuladen.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

In seinem Versuch, Askar konnte Cobalt Strike Beacon, ein bekanntes Angreifer-Tool, über diese Befehlszeile herunterladen.

Der neue Befehl ist in Version enthalten 4.18.2007.8-0 und höher, was eine ziemlich gute Startzeit für Angreifer bietet.

Im Grunde dreht sich diese Funktion um Windows Defender in eine LOLBIN (live off the line binaries), eine harmlose Systemdatei, die für böswillige Zwecke verwendet werden kann.

Glücklicherweise wird die schädliche Datei nach dem Herunterladen von demselben Windows Defender oder einem anderen erkannt or Antiviren Software Falls vorhanden.

Von einer zuverlässigen Schutzsoftware wurde Windows Defender zu einer weiteren möglichen Bedrohung, die von Administratoren und Sicherheitsexperten genau überwacht werden muss.

Wenn Sie Vorschläge oder Kommentare haben, hinterlassen Sie diese bitte unten im Kommentarbereich.