Windows Defender förvandlas till en farlig app för administratörer

Windows Defender i Windows 10 är den första försvarslinjen vid skadliga attacker och det gör en ganska bra jobb också.

Men i en av de nya uppdateringarna fick det mäktiga antivirusprogrammet ett nytt DownloadFile-kommando som gör det möjligt för alla att ladda ner alla filer från en URL till en viss sökväg på din dator.

Vi kan kalla detta en exploatering eftersom det också kan användas för att till och med ladda ner skadlig kod, något som upptäcktes av säkerhetsforskaren Mohammad Askar som Postad hans fynd på Twitter.

Hur kan Windows Defender användas för att ladda ner skadlig kod?

Det är väldigt enkelt att använda Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) för att ladda ner alla filer från en extern källa till din dator.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

I sitt försök, Askar kunde ladda ner Cobalt Strike-fyren, ett välkänt angriparverktyg med den här kommandoraden.

Det nya kommandot ingår i versionen 4.18.2007.8-0 och uppåt vilket ger en ganska bra starttid för angripare.

I grund och botten vänder den här funktionen Windows Defender in i en LOLBIN (lever av linjebinarier), en ofarlig systemfil som kan användas för skadliga ändamål.

Lyckligtvis, efter att du laddat ner den skadliga filen, kommer den att upptäckas av samma Windows Defender eller av en annan antivirusprogram om närvarande.

Från ett pålitligt skyddsprogram förvandlades Windows Defender till ett annat möjligt hot som måste övervakas noga av administratörer och säkerhetsexperter.

Om du har några förslag eller kommentarer, vänligen lämna dem nedan i avsnittet Kommentarer.