Μια πρόσφατη ενημέρωση του Microsoft Defender των Windows 10, μπορεί να επιτρέψει τη λήψη malware και άλλων αρχείων σε υπολογιστή Windows.
Τα νόμιμα αρχεία του λειτουργικού συστήματος που μπορούν να καταχραστούν για κακόβουλους σκοπούς είναι γνωστά ως δυαδικά αρχεία live-off-the-land ή LOLBIN.
Στην πρόσφατη ενημέρωση που έλαβε το Microsoft Defender, το εργαλείο γραμμής εντολών MpCmdRun.exe μπορεί να επιτρέψει τη λήψη κακόβουλων αρχείων από μια απομακρυσμένη τοποθεσία.
Μετά από αυτή την τροπή, το Microsoft Defender είναι ένα ακόμα πρόγραμμα των Windows που μπορεί να εκμεταλλευτεί ένας κακόβουλος παράγοντας για να πραγματοποιήσει επιθέσεις.
Αστεροειδής χτύπησε τη Γη λίγες ώρες μετά τον εντοπισμό του
Google: Ανίχνευση απατών-κλήσεων και κακόβουλων apps μέσω AI
Ο Elon Musk εντάχθηκε στην κυβέρνηση Trump
Microsoft Defender: μπορεί να χρησιμοποιηθεί ως LOLBIN
Ο ερευνητής ασφαλείας Mohammad Askar, ήταν εκείνος που πρώτος ανακάλυψε ότι στην πρόσφατη ενημέρωση του εργαλείου γραμμής εντολών του Microsoft Defender περιλαμβάνεται τώρα ένα νέο χαρακτηριστικό στο DownloadFile command-line.
Αυτή η δυνατότητα επιτρέπει σε έναν τοπικό χρήστη να χρησιμοποιεί το Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) για τη λήψη ενός αρχείου από μια απομακρυσμένη τοποθεσία χρησιμοποιώντας την ακόλουθη εντολή:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Σύμφωνα με πληροφορίες που δημοσίευσε το BleepingComputer, αυτή η δυνατότητα προστέθηκε στο Microsoft Defender στην έκδοση 4.18.2007.9 ή 4.18.2009.9.
Όπως μπορείτε να δείτε παρακάτω, το αρχείο resources.exe, έχει κατεβάσει ένα δείγμα WastedLocker Ransomware που χρησιμοποιήθηκε σε μια πρόσφατη επίθεση Garmin.
Τα καλά νέα είναι ότι το Microsoft Defender είναι σε θέση να εντοπίσει κακόβουλα αρχεία που έχουν ληφθεί με το MpCmdRun.exe, αλλά είναι άγνωστο εάν κάποιο άλλο λογισμικό AV θα επιτρέψει σε αυτό το πρόγραμμα να παρακάμψει τις εντολές τους. Με αυτήν την ανακάλυψη, οι διαχειριστές και οι συνεργάτες του προγράμματος έχουν πλέον ένα επιπλέον εκτελέσιμο Windows που πρέπει να παρακολουθούν, ώστε να μην χρησιμοποιείται εναντίον τους.