Microsoft Defender può ironicamente essere utilizzato per scaricare malware

Microsoft Defender può ironicamente essere utilizzato per scaricare malware

Un recente aggiornamento alla soluzione antivirus Microsoft Defender di Windows 10 consente ironicamente di scaricare malware e altri file su un computer Windows.

I file legittimi del sistema operativo che possono essere utilizzati in modo improprio per scopi dannosi sono noti come binari viventi o LOLBIN.

In un recente aggiornamento di Microsoft Defender, lo strumento della riga di comando MpCmdRun.exe è stato aggiornato per scaricare file dannosi da una posizione remota.

Con questa nuova funzionalità, Microsoft Defender fa ora parte del lungo elenco di programmi Windows che possono essere utilizzati in modo improprio dagli aggressori locali.

Microsoft Defender può essere utilizzato come LOLBIN

Scoperto dal ricercatore di sicurezza Mohammad Askar, un recente aggiornamento dello strumento da riga di comando di Microsoft Defender ora include un nuovo argomento -DownloadFile della riga di comando.

Questa direttiva consente a un utente locale di utilizzare l'utilità della riga di comando del servizio antimalware Microsoft (MpCmdRun.exe) per scaricare un file da una posizione remota utilizzando il comando seguente:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Nei test condotti da BleepingComputer.com, questa funzionalità è stata aggiunta a Microsoft Defender nella versione 4.18.2007.9 o 4.18.2009.9.

Come puoi vedere di seguito, siamo stati in grado di scaricare il file resources.exe, l'esempio di WastedLocker Ransomware utilizzato in un recente attacco Garmin.

La buona notizia è che Microsoft Defender rileverà i file dannosi scaricati con MpCmdRun.exe, ma non è noto se altri software AV consentiranno a questo programma di ignorare i loro rilevamenti.

Con questa scoperta, gli amministratori e i blue teamers ora dispongono di un ulteriore eseguibile di Windows che devono monitorare in modo che non venga utilizzato contro di loro.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.