Flagowy antywirus Microsoft Defender w ostatniej aktualizacji został wyposażony w narzędzie wiersza poleceń MpCmdRun.exe, które może… pobierać złośliwe pliki ze zdalnej lokalizacji.

Poprzez tę nową funkcję Microsoft Defender znalazł się na długiej liście programów systemu Windows, możliwych do wykorzystania przez lokalnych atakujących.

Odkryta przez badacza bezpieczeństwa Mohammada Askara, ostatnia aktualizacja narzędzia wiersza poleceń programu Microsoft Defender zawiera teraz nowy argument -DownloadFile. Umożliwia on lokalnemu atakującemu skorzystanie z narzędzia wiersza poleceń usługi Microsoft Antimalware Service (MpCmdRun.exe) w celu pobrania pliku ze zdalnej lokalizacji za pomocą następującego polecenia:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Dobra wiadomość jest taka, że ​​Microsoft Defender wykryje złośliwe pliki pobrane za pomocą MpCmdRun.exe. Nie wiadomo jednak, czy inne oprogramowanie antywirusowe pozwoli temu programowi ominąć ich wykrycia.

Dzięki temu odkryciu administratorzy i członkowie blue teams zyskali dodatkowy plik wykonywalny systemu Windows, który muszą monitorować, aby nie został wykorzystany przeciwko nim.

Źródło