Antivírus do Windows 10 pode ser usado para baixar malware

Views: 28
0 0
Read Time:1 Minute, 44 Second

Uma atualização recente do Microsoft Defender significa que o software antivírus do Windows 10 pode ter sido usado como uma nave através da qual baixar arquivos maliciosos da web.

De acordo com o testador de penetração Mohammad Askar, as alterações na ferramenta de linha de comando Do Microsoft Defender podem permitir que os atacantes usem o software como um binário vivo fora da terra (LOLBin).

Inúmeros LOLBins estão presentes no Windows 10, todos os quais servem a uma função legítima. No entanto, com os privilégios certos, os hackers podem abusar desses binários para contornar instalações de segurança e realizar ataques sem alertar a vítima.

Antivírus windows 10

Como observado por Askar, a ferramenta da linha de comando Microsoft Defender agora suporta uma nova função “DownloadFile”. Acredita-se que a mudança tenha efeito com a versão 4.18.2007.9 do Microsoft Defender ou 4.18.2009.9.

Como resultado, um invasor em uma rede local poderia usar o Utilitário de Linha de Comando de Serviços Antimalware da Microsoft para baixar um arquivo da internet com o seguinte comando: “MpCmdRun.exe -DownloadFile -url <url> -path <local-path>”.

Usando essa técnica, Askar foi capaz de baixar malware Cobalt Strike de um local remoto diretamente via Microsoft Defender.

Embora o Defender detecte e atenue quaisquer arquivos maliciosos baixados usando este método, não está claro se outros serviços antivírus populares serão capazes de se defender contra essa via de ataque, em casos em que as proteções nativas foram desativadas.

Os administradores do sistema são aconselhados a atualizar suas listas de observação para incluir o novo LOLBin, para garantir que ele não seja usado para montar um ataque.

O TechRadar Pro pediu a Askar para aconselhar sobre como os usuários individuais devem se proteger, mas ainda não recebeu uma resposta.

FONTE: TECHRADAR

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *