Новая функция Защитника Windows беспокоит исследователей безопасности

Защитник Windows добавил новую функцию, и исследователи в области безопасности не очень довольны, так как она увеличила поверхность атаки Windows.

В версии 4.18.2007.9 или 4.18.2009.9 добавлена ​​возможность загрузки файлов через командную строку с помощью приложения, например

MpCmdRun.exe -DownloadFile -url [url] -path [путь_к_файлу_сохранения]

… Теперь можно использовать для загрузки двоичного файла из Интернета.

Сама по себе эта функция не является эксплойтом, но позволяет сценарию, запускающему командную строку, импортировать дополнительные файлы из Интернета с использованием так называемых «живых» бинарных файлов или LOLBIN.

Добавление этой функции в Защитник Windows означает, что есть еще одно приложение, за которым должны следить администраторы, и другое приложение, которое могут использовать хакеры.

К счастью, Защитник Windows по-прежнему сканирует загружаемые приложения, но это, конечно, не безошибочно.

Новая «функция» была обнаружена исследователем безопасности. Мохаммад Аскар и проверено BleepingComputer. Читать далее здесь.