Olhar Digital > Notícias > Microsoft Defender pode ser usado para baixar malware

Microsoft Defender pode ser usado para baixar malware

Ferramenta embutida no Windows 10 pode prejudicar a segurança da máquina devido a uma recente mudança em seu código
Redação04/09/2020 02h35, atualizada em 04/09/2020 17h12

20200903114643

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Em uma atualização recente do Microsoft Defender, a ferramenta de linha de comando MpCmdRun.exe foi atualizada para incluir a capacidade de baixar arquivos de um local remoto. No entanto, isso pode ser aproveitado por invasores. Os arquivos legítimos que podem ser usados para fins maliciosos são conhecidos como binários “living-off-the-land” ou LOLBINs.

O problema foi descoberto pelo pesquisador de segurança Mohammad Askar. A atualização da ferramenta, ironicamente, permite que ela baixe um malware e outros arquivos em computadores com Windows.

Isso porque ela trouxe consigo um novo argumento de linha de comando -DownloadFile. Esta diretiva permite que um usuário local use o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar um arquivo de um local remoto usando o seguinte comando:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

O site Bleeping Computer resolveu testar o recurso para baixar uma amostra de um ransomware real. E, para piorar, nenhum privilégio administrativo foi necessário. Ou seja, até mesmo uma conta de usuário limitado será capaz de usar o próprio Windows Defender para baixar qualquer arquivo da internet.

Reprodução

Notificação de proteção do antivírus Microsoft Defender em computadores com Windows 10. Créditos: Hadrian/Shutterstock

Nem tudo está perdido

Por outro lado, o malware não pode escalonar privilégios e usar pastas e arquivos para tomar facilmente o controle do sistema. Então, nem tudo está perdido, a ferramenta de download remoto do Windows Defender não pode ser usada para causar estragos piores do que qualquer malware que infectasse seu sistema com êxito normalmente faria.

Apesar dos testes, o antivírus Microsoft Defender ainda protegerá os clientes contra malwares. Esses programas detectam arquivos maliciosos baixados para o sistema por meio do recurso de download de arquivos antivírus.

Seja como for, com essa descoberta, os administradores e equipes da Microsoft agora têm um executável adicional do Windows que precisam monitorar para que não seja usado contra eles.

Fonte: Bleeping Computer



Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital

Ícone tagsTags: