Em uma atualização recente do Microsoft Defender, a ferramenta de linha de comando MpCmdRun.exe foi atualizada para incluir a capacidade de baixar arquivos de um local remoto. No entanto, isso pode ser aproveitado por invasores. Os arquivos legítimos que podem ser usados para fins maliciosos são conhecidos como binários “living-off-the-land” ou LOLBINs.

O problema foi descoberto pelo pesquisador de segurança Mohammad Askar. A atualização da ferramenta, ironicamente, permite que ela baixe um malware e outros arquivos em computadores com Windows.

publicidade

Isso porque ela trouxe consigo um novo argumento de linha de comando -DownloadFile. Esta diretiva permite que um usuário local use o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar um arquivo de um local remoto usando o seguinte comando:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

O site Bleeping Computer resolveu testar o recurso para baixar uma amostra de um ransomware real. E, para piorar, nenhum privilégio administrativo foi necessário. Ou seja, até mesmo uma conta de usuário limitado será capaz de usar o próprio Windows Defender para baixar qualquer arquivo da internet.

Reprodução

Notificação de proteção do antivírus Microsoft Defender em computadores com Windows 10. Créditos: Hadrian/Shutterstock

 

Nem tudo está perdido

Por outro lado, o malware não pode escalonar privilégios e usar pastas e arquivos para tomar facilmente o controle do sistema. Então, nem tudo está perdido, a ferramenta de download remoto do Windows Defender não pode ser usada para causar estragos piores do que qualquer malware que infectasse seu sistema com êxito normalmente faria.

Apesar dos testes, o antivírus Microsoft Defender ainda protegerá os clientes contra malwares. Esses programas detectam arquivos maliciosos baixados para o sistema por meio do recurso de download de arquivos antivírus.

Seja como for, com essa descoberta, os administradores e equipes da Microsoft agora têm um executável adicional do Windows que precisam monitorar para que não seja usado contra eles.

Fonte: Bleeping Computer