Захисник Windows перетворюється на небезпечну програму для адміністраторів

Захисник Windows у Windows 10 - це перша лінія захисту на випадок шкідливих програм, і це робить непогана робота теж.

Однак в одному зі своїх нових оновлень могутній антивірус отримав нову команду DownloadFile, яка дозволить кожному завантажити будь-який файл із URL-адреси на певний шлях на вашому комп’ютері.

Ми можемо назвати це експлойтом, оскільки його також можна використовувати навіть для завантаження шкідливого програмного забезпечення, що виявив дослідник безпеки Мохаммад Аскар, який розміщено свою знахідку в Twitter.

Як можна використовувати Windows Defender для завантаження шкідливих програм?

За допомогою утиліти командного рядка Microsoft Antimalware Service (MpCmdRun.exe) дуже просто використовувати будь-який файл із зовнішнього джерела на свій комп’ютер.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

У своїй спробі Аскар зміг завантажити маяк Cobalt Strike, відомий інструмент для зловмисників за допомогою цього командного рядка.

Нова версія включена у версію 4.18.2007.8-0 і вище, що дає досить хороший час старту для зловмисників.

В основному ця особливість перетворюється Захисник Windows у LOLBIN (живе поза бінарними файлами), нешкідливий системний файл, який можна використовувати у зловмисних цілях.

На щастя, після завантаження шкідливого файлу його виявить той самий Захисник Windows або інший антивірусне програмне забезпечення якщо є.

З надійного програмного забезпечення для захисту Windows Defender перетворився на ще одну можливу загрозу, за якою доведеться пильно стежити адміністраторами та експертами з безпеки.

Якщо у вас є якісь пропозиції чи коментарі, залиште їх нижче в розділі коментарів.