Нова функція Windows Defender стурбувала дослідників безпеки

Windows Defender додав нову функцію, і дослідники безпеки не дуже задоволені, оскільки він збільшив поверхню атаки Windows.

Версія програми 4.18.2007.9 або 4.18.2009.9 додала можливість завантажувати файли через командний рядок за допомогою програми, наприклад

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

… тепер можна використовувати для завантаження двійкового файлу з Інтернету.

Хоча ця функція не є експлойтом, вона дозволяє сценарію, який може запустити командний рядок, щоб імпортувати подальші файли з Інтернету за допомогою власних так званих двійкових файлів, що живуть поза землею, або LOLBIN.

Додавання цієї функції до Windows Defender означає, що адміністратори іншої програми мають стежити за тим, і іншу програму, яку можуть використовувати хакери.

На щастя, Windows Defender все ще сканує завантажені програми, але це, звичайно, не безпомилкове.

Нову «функцію» виявив дослідник безпеки Мохаммад Аскар і підтверджено BleepingComputer. Детальніше тут.