Friendoffriends
Windows Defender i Windows 10 er den første forsvarslinje i tilfælde af malwareangreb, og det gør også et ret godt stykke arbejde.
I en af de nye opdateringer fik det mægtige antivirus imidlertid en ny DownloadFile-kommando, der gør det muligt for enhver at downloade enhver fil fra en URL til en bestemt sti på din computer.
Vi kan kalde dette en udnyttelse, da den også kunne bruges til endda at downloade malware, en ting, der blev opdaget af sikkerhedsforsker Mohammad Askar, der sendte sit fund på Twitter.
Hvordan kan Windows Defender bruges til at downloade malware?
Det er virkelig nemt at bruge Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) til at downloade enhver fil fra en ekstern kilde til din computer.
MpCmdRun.exe -DownloadFile -url [url] -sti [path_to_save_file]
I sit forsøg kunne Askar downloade Cobalt Strike-fyrtårn, et velkendt angriberværktøj, der bruger denne kommandolinje.
Den nye kommando er inkluderet i version 4.18.2007.8-0 og op, hvilket giver en ret god starttid for angribere.
Dybest set forvandler denne funktion Windows Defender til en LOLBIN (lever af lineære binære filer), en harmløs systemfil, der kan bruges til ondsindede formål.
Heldigvis, efter at du har downloadet den skadelige fil, registreres den af den samme Windows Defender eller af en anden antivirussoftware, hvis den er til stede.
Fra en pålidelig beskyttelsessoftware blev Windows Defender til en anden mulig trussel, der skal overvåges nøje af administratorer og sikkerhedseksperter.
Hvis du har nogle forslag eller kommentarer, skal du lade dem være nedenfor i afsnittet Kommentarer.
