Uma atualização recente do Microsoft Defender significa que o software antivírus do Windows 10 pode ter sido usado como uma nave através da qual baixar arquivos maliciosos da web.
De acordo com o testador de penetração Mohammad Askar, as alterações na ferramenta de linha de comando Do Microsoft Defender podem permitir que os atacantes usem o software como um binário vivo fora da terra (LOLBin).
Inúmeros LOLBins estão presentes no Windows 10, todos os quais servem a uma função legítima. No entanto, com os privilégios certos, os hackers podem abusar desses binários para contornar instalações de segurança e realizar ataques sem alertar a vítima.
- Aqui está nossa lista dos melhores serviços antivírus do Windows 10 ao redor
- Construímos uma lista do melhor software de proteção de ransomware disponível
- Confira nossa lista dos melhores firewalls por aí
Antivírus windows 10
Como observado por Askar, a ferramenta da linha de comando Microsoft Defender agora suporta uma nova função “DownloadFile”. Acredita-se que a mudança tenha efeito com a versão 4.18.2007.9 do Microsoft Defender ou 4.18.2009.9.
Como resultado, um invasor em uma rede local poderia usar o Utilitário de Linha de Comando de Serviços Antimalware da Microsoft para baixar um arquivo da internet com o seguinte comando: “MpCmdRun.exe -DownloadFile -url <url> -path <local-path>”.
Usando essa técnica, Askar foi capaz de baixar malware Cobalt Strike de um local remoto diretamente via Microsoft Defender.
Embora o Defender detecte e atenue quaisquer arquivos maliciosos baixados usando este método, não está claro se outros serviços antivírus populares serão capazes de se defender contra essa via de ataque, em casos em que as proteções nativas foram desativadas.
Os administradores do sistema são aconselhados a atualizar suas listas de observação para incluir o novo LOLBin, para garantir que ele não seja usado para montar um ataque.
O TechRadar Pro pediu a Askar para aconselhar sobre como os usuários individuais devem se proteger, mas ainda não recebeu uma resposta.
FONTE: TECHRADAR