Недавнее обновление встроенного антивирусного программного обеспечения в Windows 10 научило программу новому трюку — как загружать файлы с помощью инструмента командной строки, в том числе вредоносные.
Загрузка вредоносного ПО, конечно, не является предполагаемой целью. Но потенциально новая функция может быть использована таким образом. Этот баг был обнаружен Мохаммадом Аскаром, тестером по безопасности.
«Вы можете загрузить файл из Интернета с помощью самого Защитника Windows. В этом примере я смог загрузить Cobalt Strike с помощью двоичного файла MpCmdRun.exe, который является «Командной строкой Microsoft защиты от вредоносных программ», — заявил Аскар в Твиттере.
Это эффективно позволяет локальному злоумышленнику использовать Defender в качестве так называемого «живого бинарного файла» (LOLBin). Это когда легитимное программное обеспечение используется для чего-то вредоносного — в данном случае для загрузки вируса с помощью антивирусной программы.
Баг был замечен в Defender после обновления 4.18.2007.8 в июле, так что такая функциональность была там уже почти два месяца. Bleeping Computer протестировала новый переключатель загрузки в инструменте командной строки и смогла загрузить ту же программу-вымогатель WastedLocker, которая недавно вызвала шум в инфраструктуре Garmin, что побудило компанию, как сообщается, заплатить выкуп в несколько миллионов долларов.
Microsoft в ответ на это заявила:
«Несмотря на эти отчеты, антивирус Microsoft Defender и Microsoft Defender ATP по-прежнему будут защищать клиентов от вредоносных программ. Эти программы обнаруживают вредоносные файлы, загружаемые в систему с помощью функции загрузки антивирусных файлов».
Представитель Microsoft пояснил, что это заявление также относится к антивирусу Защитника Windows, антивирусному программному обеспечению, которое входит в состав Windows 10 Home.