Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).
В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.
Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.
Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.
Well, you can download a file from the internet using Windows Defender itself.
— Askar (@mohammadaskar2) September 2, 2020
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
Инструмент стал поддерживать новый аргумент -DownloadFile. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.
При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.
Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.
Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.
Последние статьи #Windows10
• Доступны обновления микрокода Intel для Windows 10, исправляющие уязвимости безопасности
• Обновление Windows Feature Experience Pack (KB4601906) для Windows 10, версия 20H2 на Бета-канале
• Windows 10 Build 21296 (Dev) доступен для тестирования
• Microsoft показала новый дизайн «Ваш телефон» для Windows 10
• Microsoft улучшит темный режим в Windows 10
• Windows 10X – убийца Chrome OS? Похоже, что нет