Friendoffriends
Windows Defender i Windows 10 er den første forsvarslinjen i tilfelle skadelige angrep, og det gjør en ganske god jobb også.
Imidlertid, i en av de nye oppdateringene, fikk det mektige antivirusprogrammet en ny DownloadFile-kommando, som lar alle laste ned filer fra en URL til en bestemt bane på datamaskinen din..
Vi kan kalle dette en utnyttelse siden den også kan brukes til å laste ned skadelig programvare, noe som ble oppdaget av sikkerhetsforsker Mohammad Askar som la ut funnet på Twitter..
Hvordan kan Windows Defender brukes til å laste ned skadelig programvare?
Det er veldig enkelt å bruke Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) til å laste ned alle filer fra en ekstern kilde til datamaskinen din.
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
I sitt forsøk var Askar i stand til å laste ned Cobalt Strike fyrtårn, et kjent angriperverktøy ved hjelp av denne kommandolinjen.
Den nye kommandoen er inkludert i versjon 4.18.2007.8-0 og oppover, noe som gir en ganske god starttid for angripere.
I utgangspunktet gjør denne funksjonen Windows Defender til en LOLBIN (live off the line binaries), en ufarlig systemfil som kan brukes til ondsinnede formål..
Heldigvis, etter at du har lastet ned den skadelige filen, vil den bli oppdaget av samme Windows Defender eller av en annen antivirusprogramvare hvis den er tilstede.
Fra en pålitelig beskyttelsesprogramvare ble Windows Defender til en annen mulig trussel som må overvåkes nøye av administratorer og sikkerhetseksperter.
Hvis du har noen forslag eller kommentarer, kan du legge dem nedenfor i kommentarfeltet.
