Защитник Windows может использоваться для загрузки вредоносных программ

Защитник Windows

Последнее обновление антивируса Microsoft Defender для Windows 10 позволяет ему загружать вредоносные программы и другие файлы на компьютер с Windows.

В недавнем патче инструмент командной строки MpCmdRun.exe был обновлён и получил возможность загрузки файлов из удалённого местоположения, что может быть использовано злоумышленниками.

Благодаря этой новой функции Защитник Windows теперь входит в длинный список программ, которыми интересуются злоумышленники, ведь его можно использовать как LOLBin (так называются легитимные системные компоненты, которые используются в злонамеренных целях).

Обнаруженное исследователем безопасности Мохаммадом Аскаром недавнее обновление инструмента командной строки Защитника добавило новый аргумент DownloadFile в версию 4.18.2007.9 или 4.18.2009.9.

Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удалённого местоположения с помощью следующей команды:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Как вы можете видеть ниже, Мохаммад смог загрузить файл resources.exe, который представлял собой образец программы-вымогателя WastedLocker, используемый в последнее время для атаки на производителя GPS-навигационной техники и умных часов Garmin.

Загрузка программы-вымогателя с помощью Microsoft Defender
Загрузка программы-вымогателя с помощью Microsoft Defender

Хорошая новость заключается в том, что Защитник Windows обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно, позволит ли другое антивирусное программное обеспечение обходить их обнаружения.

Так администраторы компьютера получили дополнительный исполняемый файл Windows, который необходимо отслеживать, чтобы он не использовался во вред.

Также в одном из недавних обновлений, Microsoft запретила вредоносному ПО отключать встроенный антивирус через реестр.

WinNOTE
Добавить комментарий

  1. Аватар
    redwolf

    Я добавил правило в брандмауэр защитника Windows, чтобы блокировать соединение MpCmdRun.exe, чтобы его нельзя было использовать для загрузки вредоносных программ.

    Ответить