Microsoft Defender pode ser usado para baixar malware

Em uma atualização recente do Microsoft Defender, a ferramenta de linha de comando MpCmdRun.exe foi atualizada para incluir a capacidade de baixar arquivos de um local remoto. No entanto, isso pode ser aproveitado por invasores. Os arquivos legítimos que podem ser usados para fins maliciosos são conhecidos como binários “living-off-the-land” ou LOLBINs.

O problema foi descoberto pelo pesquisador de segurança Mohammad Askar. A atualização da ferramenta, ironicamente, permite que ela baixe um malware e outros arquivos em computadores com Windows.

Isso porque ela trouxe consigo um novo argumento de linha de comando -DownloadFile. Esta diretiva permite que um usuário local use o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar um arquivo de um local remoto usando o seguinte comando:

Notificação de proteção do antivírus Microsoft Defender em computadores com Windows 10. Créditos: Hadrian/Shutterstock

Nem tudo está perdido

Por outro lado, o malware não pode escalonar privilégios e usar pastas e arquivos para tomar facilmente o controle do sistema. Então, nem tudo está perdido, a ferramenta de download remoto do Windows Defender não pode ser usada para causar estragos piores do que qualquer malware que infectasse seu sistema com êxito normalmente faria.

Apesar dos testes, o antivírus Microsoft Defender ainda protegerá os clientes contra malwares. Esses programas detectam arquivos maliciosos baixados para o sistema por meio do recurso de download de arquivos antivírus.

Seja como for, com essa descoberta, os administradores e equipes da Microsoft agora têm um executável adicional do Windows que precisam monitorar para que não seja usado contra eles.

Fonte: Bleeping Computer