Windows Defender se convierte en una aplicación peligrosa para los administradores

Windows Defender en Windows 10 es la primera línea de defensa en caso de ataques de malware y hace un muy buen trabajo tambien.

Sin embargo, en una de sus nuevas actualizaciones, el poderoso antivirus obtuvo un nuevo comando DownloadFile, que permitirá a cualquiera descargar cualquier archivo desde una URL a una ruta determinada en su computadora.

Podemos llamar a esto un exploit, ya que también podría usarse para descargar malware, algo que fue descubierto por el investigador de seguridad Mohammad Askar, quien al corriente su hallazgo en Twitter.

¿Cómo se puede utilizar Windows Defender para descargar malware?

Es realmente sencillo usar la utilidad de línea de comandos del servicio Microsoft Antimalware (MpCmdRun.exe) para descargar cualquier archivo desde una fuente externa a su computadora.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

En su intento, Askar pudo descargar Cobalt Strike beacon, una conocida herramienta de ataque usando esta línea de comando.

El nuevo comando está incluido en la versión 4.18.2007.8-0 en adelante, lo que da un buen tiempo de inicio para los atacantes.

Básicamente, esta característica se convierte Windows Defender en un LOLBIN (binarios que viven fuera de la línea), un archivo de sistema inofensivo que se puede utilizar con fines maliciosos.

Afortunadamente, después de descargar el archivo dañino, será detectado por el mismo Windows Defender o por otro software antivirus si está presente.

De ser un software de protección confiable, Windows Defender se convirtió en otra posible amenaza que deberá ser monitoreada de cerca por administradores y expertos en seguridad.

Si tiene alguna sugerencia o comentario, déjelos a continuación en la sección Comentarios.