O Microsoft Defender pode ser usado para baixar malware
Uma atualização recente da solução antivírus Microsoft Defender do Windows 10, ironicamente, permite que ele baixe malware e outros arquivos para um computador Windows.
Os arquivos legítimos do sistema operacional que podem ser usados para fins maliciosos são conhecidos como binários “living-off-the-land” ou LOLBINs.
Em uma atualização recente do Microsoft Defender, a ferramenta de linha de comando MpCmdRun.exe foi atualizada para baixar arquivos maliciosos de um local remoto.
Com esse novo recurso, o Microsoft Defender agora faz parte da longa lista de programas do Windows que podem ser abusados por invasores locais.
O Microsoft Defender pode ser usado como um LOLBIN
Descoberto pelo pesquisador de segurança Mohammad Askar , uma atualização recente da ferramenta de linha de comando do Microsoft Defender agora inclui um novo -DownloadFileargumento de linha de comando.
Esta diretiva permite que um usuário local use o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar um arquivo de um local remoto usando o seguinte comando:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]Em testes conduzidos por BleepingComputer.com, esse recurso foi adicionado ao Microsoft Defender na versão 4.18.2007.9 ou 4.18.2009.9.
Como você pode ver abaixo, o BleepingComputer conseguiu baixar o arquivo resources.exe , a amostra WastedLocker Ransomware usada em um ataque recente da Garmin .
A boa notícia é que o Microsoft Defender detectará arquivos maliciosos baixados com MpCmdRun.exe, mas não se sabe se outro software antivírus permitirá que este programa ignore suas detecções.
Com essa descoberta, os administradores e equipes azuis agora têm um executável adicional do Windows que precisam monitorar para que não seja usado contra eles.
