Антивирус Windows 10 может использоваться для загрузки вредоносного ПО

2020-09-04 8529 комментарии
Недавнее обновление антивируса Windows 10 – Microsoft Defender (Защитник Windows) – позволяет скачивать вредоносные программы и другие файлы на ПК Windows 10

Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).

В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.

Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.

Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.

Инструмент стал поддерживать новый аргумент -DownloadFile. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:

MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]

Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.

Microsoft Defender

При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.

Microsoft Defender

Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.

Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?