Windows Defender se transforme en une application dangereuse pour les administrateurs

Windows Defender dans Windows 10 est la première ligne de défense en cas d'attaques de logiciels malveillants et il fait un très bon travail aussi.

Cependant, dans l'une de ses nouvelles mises à jour, le puissant antivirus a reçu une nouvelle commande DownloadFile, qui permettra à quiconque de télécharger n'importe quel fichier à partir d'une URL vers un certain chemin sur votre ordinateur.

Nous pouvons appeler cela un exploit car il pourrait également être utilisé pour même télécharger des logiciels malveillants, une chose qui a été découverte par le chercheur en sécurité Mohammad Askar qui

posté sa découverte sur Twitter.

Comment Windows Defender peut-il être utilisé pour télécharger des logiciels malveillants ?

Il est très simple d'utiliser l'utilitaire de ligne de commande Microsoft Antimalware Service (MpCmdRun.exe) pour télécharger n'importe quel fichier à partir d'une source externe sur votre ordinateur.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Dans son essai, Askar a pu télécharger la balise Cobalt Strike, un outil d'attaque bien connu utilisant cette ligne de commande.

La nouvelle commande est incluse dans la version 4.18.2007.8-0 et plus, ce qui donne une assez bonne heure de départ pour les attaquants.

Fondamentalement, cette fonctionnalité se transforme Windows Defender dans un LOLBIN (binaires vivants hors ligne), un fichier système inoffensif qui peut être utilisé à des fins malveillantes.

Heureusement, après avoir téléchargé le fichier nuisible, il sera détecté par le même Windows Defender ou par un autre Logiciel antivirus si présent.

D'un logiciel de protection fiable, Windows Defender s'est transformé en une autre menace possible qui devra être étroitement surveillée par les administrateurs et les experts en sécurité.

Si vous avez des suggestions ou des commentaires, veuillez les laisser ci-dessous dans la section Commentaires.