Luka w Windows Defender pozwala pobrać wirusa z sieci

Nietypowy problem Microsoft Defendera.

Program antywirusowy Microsoft Defender (niegdyś Windows Defender) otrzymał w lipcu aktualizację oznaczoną numerem 4.18.2007.8. Dodała ona do tej aplikacji funkcję Service Command Line Utility (proces MpCmdRun.exe), oferującą m.in. możliwość ściągania plików poprzez narzędzie wiersza poleceń. Jak opisuje na Twitterze ekspert od cyberbezpieczeństwa Mohammad Askar, funkcja pozwala ściągnąć wirusa na swój komputer.

Warto odnotować, że Service Command Line Utility raczej nie stanowi zagrożenia dla przeciętnego użytkownika systemu Windows, ponieważ ściąganie wirusów w ten sposób wymaga posiadania pewnej wiedzy i podjęcia określonych działań. Jednak prawdopodobnie nie jest to zastosowanie zamierzone przez programistów Microsoft Defendera. W teorii haker mający dostęp do komputera może wykorzystać program do przeprowadzania ataku typu LOLBin (od „Living off the Land Binary” – mowa o sytuacjach, w których aplikacja niemająca złośliwego charakteru jest wykorzystywana do złamania zabezpieczeń).

Należy zaznaczyć, że pliki ściągnięte metodą odkrytą przez Mohammada Askara są skanowane przez Microsoft Defendera i wyłapywane jako szkodliwe, ale nie zmienia to faktu, że jest to swego rodzaju luka w zabezpieczeniach, która w pewnych sytuacjach może być wykorzystana do złych celów (można sobie np. wyobrazić scenariusz, w którym ktoś zatrudnia się w jakiejś firmie na chwilę, by złamać jej zabezpieczenia – albo po prostu robi szefowi na złość, bo otrzymał reprymendę lub został zwolniony).

1. Microsoft Defender – strona oficjalna
2. Najlepszy darmowy antywirus | Top 10 na 2020 rok