Το Windows Defender μετατρέπεται σε επικίνδυνη εφαρμογή για διαχειριστές

Το Windows Defender στα Windows 10 είναι η πρώτη γραμμή άμυνας σε περίπτωση επιθέσεων κακόβουλου λογισμικού και το κάνει πολύ καλή δουλειά επίσης.

Ωστόσο, σε μια από τις νέες ενημερώσεις του, το πανίσχυρο antivirus έλαβε μια νέα εντολή DownloadFile, η οποία θα επιτρέπει σε οποιονδήποτε να κατεβάσει οποιοδήποτε αρχείο από μια διεύθυνση URL σε μια συγκεκριμένη διαδρομή στον υπολογιστή σας.

Μπορούμε να το ονομάσουμε εκμεταλλεύσιμο, καθώς θα μπορούσε επίσης να χρησιμοποιηθεί για τη λήψη κακόβουλου λογισμικού, πράγμα που ανακαλύφθηκε από τον ερευνητή ασφαλείας Mohammad Askar, ο οποίος

δημοσιεύτηκε το εύρημα του στο Twitter.

Πώς μπορεί να χρησιμοποιηθεί το Windows Defender για λήψη κακόβουλου λογισμικού;

Είναι πολύ απλό να χρησιμοποιήσετε το Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) για να κατεβάσετε οποιοδήποτε αρχείο από μια εξωτερική πηγή στον υπολογιστή σας.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Στην προσπάθειά του, Askar μπόρεσε να κατεβάσει το Cobalt Strike beacon, ένα πολύ γνωστό εργαλείο εισβολέα χρησιμοποιώντας αυτήν τη γραμμή εντολών.

Η νέα εντολή περιλαμβάνεται στην έκδοση 4.18.2007.8-0 και άνω που δίνει έναν αρκετά καλό χρόνο εκκίνησης για τους επιτιθέμενους.

Βασικά, αυτή η δυνατότητα γυρίζει Windows Defender σε ένα LOLBIN (που ζει στα δυαδικά αρχεία), ένα αβλαβές αρχείο συστήματος που μπορεί να χρησιμοποιηθεί για κακόβουλους σκοπούς.

Ευτυχώς, μετά τη λήψη του επιβλαβούς αρχείου, θα εντοπιστεί από τον ίδιο Windows Defender ή από άλλο λογισμικό ενάντια στους ιούς αν υπάρχει.

Από ένα αξιόπιστο λογισμικό προστασίας, το Windows Defender μετατράπηκε σε μια άλλη πιθανή απειλή που θα πρέπει να παρακολουθείται στενά από διαχειριστές και ειδικούς ασφαλείας.

Εάν έχετε οποιεσδήποτε προτάσεις ή σχόλια, αφήστε τα παρακάτω στην ενότητα Σχόλια.