Windows Defender se spremeni v nevarno aplikacijo za skrbnike

Windows Defender v operacijskem sistemu Windows 10 je prva obrambna linija v primeru napadov zlonamerne programske opreme tudi precej dobro delo.

Vendar je v eni od svojih novih posodobitev mogočni protivirusni program dobil nov ukaz DownloadFile, ki bo vsakomur omogočil prenos katere koli datoteke z URL-ja na določeno pot v vašem računalniku.

Temu lahko rečemo izkoriščanje, saj bi ga lahko uporabili tudi za prenos zlonamerne programske opreme, kar je odkril raziskovalec varnosti Mohammad Askar, ki objavljeno njegova ugotovitev na Twitterju.

Kako se lahko Windows Defender uporablja za prenos zlonamerne programske opreme?

Uporaba pripomočka za ukazno vrstico Microsoft Antimalware Service (MpCmdRun.exe) je zelo preprosta za prenos katere koli datoteke iz zunanjega vira v računalnik.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

V svojem poskusu Askar je lahko s pomočjo te ukazne vrstice prenesel svetilnik Cobalt Strike, dobro znano orodje napadalca.

Novi ukaz je vključen v različico 4.18.2007.8-0 in novejše, kar daje napadalcem precej dober začetek.

V bistvu se ta funkcija obrne Windows Defender v LOLBIN (ki živi zunaj linijskih binarnih datotek), neškodljivo sistemsko datoteko, ki se lahko uporablja v zlonamerne namene.

Na srečo jo bo po prenosu škodljive datoteke zaznal isti Windows Defender ali druga oseba protivirusna programska oprema če je prisoten.

Iz zanesljive zaščitne programske opreme se je Windows Defender spremenil v še eno možno grožnjo, ki jo bodo morali skrbniki in strokovnjaki za varnost natančno spremljati.

Če imate kakršne koli predloge ali komentarje, jih pustite spodaj v oddelku za komentarje.