Windows Defender pretvara se u opasnu aplikaciju za administratore

Windows Defender u sustavu Windows 10 prva je linija obrane u slučaju napada zlonamjernog softvera, a čini to prilično dobar posao također.

Međutim, u jednom od svojih novih ažuriranja, moćni je antivirus dobio novu naredbu DownloadFile koja će svakome omogućiti preuzimanje bilo koje datoteke s URL-a na određenu stazu na vašem računalu.

To možemo nazvati eksploatacijom, jer bi se moglo koristiti i za preuzimanje zlonamjernog softvera, što je otkrio sigurnosni istraživač Mohammad Askar koji objavljeno njegov nalaz na Twitteru.

Kako se Windows Defender može koristiti za preuzimanje zlonamjernog softvera?

Doista je jednostavno koristiti uslužni program naredbenog retka Microsoft Antimalware Service (MpCmdRun.exe) za preuzimanje bilo koje datoteke s vanjskog izvora na računalo.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

U svom pokušaju, Askar je uspio preuzeti svjetionik Cobalt Strike, poznati napadački alat pomoću ovog naredbenog retka.

Nova naredba je uključena u verziju 4.18.2007.8-0 i više što napadačima daje prilično dobro vrijeme za početak.

U osnovi, ova se značajka okreće Windows Defender u LOLBIN (koji živi izvan linijskih binarnih datoteka), bezopasnu sistemsku datoteku koja se može koristiti u zlonamjerne svrhe.

Srećom, nakon što preuzmete štetnu datoteku, otkrit će je isti sustav Windows Defender ili drugi antivirusni softver ako je prisutan.

Iz pouzdanog softvera za zaštitu Windows Defender pretvorio se u još jednu moguću prijetnju koju će administratori i sigurnosni stručnjaci morati pomno nadgledati.

Ako imate prijedloge ili komentare, ostavite ih ispod u odjeljku za komentare.