Microsoft Defender può ironicamente essere utilizzato per scaricare malware

3 Settembre 2020 - Tempo di lettura: 7 minuti

Un recente aggiornamento alla soluzione antivirus Microsoft Defender di Windows 10 consente ironicamente di scaricare malware e altri file su un computer Windows.

I file legittimi del sistema operativo che possono essere utilizzati in modo improprio per scopi dannosi sono noti come binari viventi o LOLBIN.

In un recente aggiornamento di Microsoft Defender, lo strumento della riga di comando MpCmdRun.exe è stato aggiornato per scaricare file dannosi da una posizione remota.

Con questa nuova funzionalità, Microsoft Defender fa ora parte del lungo elenco di programmi Windows che possono essere utilizzati in modo improprio dagli aggressori locali.

Microsoft Defender può essere utilizzato come LOLBIN

Scoperto dal ricercatore di sicurezza Mohammad Askar, un recente aggiornamento dello strumento da riga di comando di Microsoft Defender ora include un nuovo argomento -DownloadFile della riga di comando.

Questa direttiva consente a un utente locale di utilizzare l'utilità della riga di comando del servizio antimalware Microsoft (MpCmdRun.exe) per scaricare un file da una posizione remota utilizzando il comando seguente:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Nei test condotti da BleepingComputer.com, questa funzionalità è stata aggiunta a Microsoft Defender nella versione 4.18.2007.9 o 4.18.2009.9.

Come puoi vedere di seguito, siamo stati in grado di scaricare il file resources.exe, l'esempio di WastedLocker Ransomware utilizzato in un recente attacco Garmin.

La buona notizia è che Microsoft Defender rileverà i file dannosi scaricati con MpCmdRun.exe, ma non è noto se altri software AV consentiranno a questo programma di ignorare i loro rilevamenti.

Con questa scoperta, gli amministratori e i blue teamers ora dispongono di un ulteriore eseguibile di Windows che devono monitorare in modo che non venga utilizzato contro di loro.