Windows Defender blir til en farlig app for administratorer

Windows Defender i Windows 10 er den første forsvarslinjen i tilfelle skadelige angrep, og det gjør en ganske bra jobb også.

Imidlertid, i en av de nye oppdateringene, fikk det mektige antivirusprogrammet en ny DownloadFile-kommando, som gjør det mulig for alle å laste ned filer fra en URL til en bestemt bane på datamaskinen din.

Vi kan kalle dette en utnyttelse siden den også kan brukes til å laste ned skadelig programvare, noe som ble oppdaget av sikkerhetsforsker Mohammad Askar som postet hans funn på Twitter.

Hvordan kan Windows Defender brukes til å laste ned skadelig programvare?

Det er veldig enkelt å bruke Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) til å laste ned alle filer fra en ekstern kilde til datamaskinen din.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

I sitt forsøk, Askar klarte å laste ned Cobalt Strike fyrtårn, et kjent angriperverktøy ved hjelp av denne kommandolinjen.

Den nye kommandoen er inkludert i versjonen 4.18.2007.8-0 og oppover som gir en ganske god starttid for angripere.

I utgangspunktet snur denne funksjonen seg Windows Defender inn i en LOLBIN (som lever av binærfiler), en ufarlig systemfil som kan brukes til ondsinnede formål.

Heldigvis, etter at du har lastet ned den skadelige filen, blir den oppdaget av samme Windows Defender eller av en annen antivirus programvare hvis tilstede.

Fra en pålitelig beskyttelsesprogramvare ble Windows Defender til en annen mulig trussel som må overvåkes nøye av administratorer og sikkerhetseksperter.

Hvis du har noen forslag eller kommentarer, kan du legge dem nedenfor i kommentarfeltet.