Windows Defender verandert in een gevaarlijke app voor beheerders

Windows Defender in Windows 10 is de eerste verdedigingslinie in het geval van malware-aanvallen en het doet een best goed gedaan ook.

In een van zijn nieuwe updates kreeg de machtige antivirus echter een nieuwe opdracht DownloadFile, waarmee iedereen elk bestand van een URL naar een bepaald pad op uw computer kan downloaden.

We kunnen dit een exploit noemen, omdat het ook kan worden gebruikt om zelfs malware te downloaden, iets dat werd ontdekt door beveiligingsonderzoeker Mohammad Askar die Geplaatst zijn vondst op Twitter.

Hoe kan Windows Defender worden gebruikt om malware te downloaden?

Het is heel eenvoudig om het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) te gebruiken om elk bestand van een externe bron naar uw computer te downloaden.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

In zijn poging, Askar was in staat om Cobalt Strike beacon te downloaden, een bekende aanvallertool met behulp van deze opdrachtregel.

Het nieuwe commando is opgenomen in versie 4.18.2007.8-0 en hoger, wat een redelijk goede starttijd geeft voor aanvallers.

Kortom, deze functie verandert Windows Defender in een LOLBIN (van de lijn binaire bestanden leven), een onschadelijk systeembestand dat voor kwaadwillende doeleinden kan worden gebruikt.

Gelukkig wordt het, nadat je het schadelijke bestand hebt gedownload, door dezelfde Windows Defender of door een andere gedetecteerd antivirus software indien aanwezig.

Van betrouwbare beveiligingssoftware veranderde Windows Defender in een andere mogelijke bedreiging die nauwlettend in de gaten moet worden gehouden door beheerders en beveiligingsexperts.

Als je suggesties of opmerkingen hebt, laat ze dan hieronder achter in het gedeelte Opmerkingen.