Нова функція Windows Defender стурбувала дослідників безпеки
1 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Windows Defender додав нову функцію, і дослідники безпеки не дуже задоволені, оскільки він збільшив поверхню атаки Windows.
Версія програми 4.18.2007.9 або 4.18.2009.9 додала можливість завантажувати файли через командний рядок за допомогою програми, наприклад
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
… тепер можна використовувати для завантаження двійкового файлу з Інтернету.
Хоча ця функція не є експлойтом, вона дозволяє сценарію, який може запустити командний рядок, щоб імпортувати подальші файли з Інтернету за допомогою власних так званих двійкових файлів, що живуть поза землею, або LOLBIN.
Додавання цієї функції до Windows Defender означає, що адміністратори іншої програми мають стежити за тим, і іншу програму, яку можуть використовувати хакери.
На щастя, Windows Defender все ще сканує завантажені програми, але це, звичайно, не безпомилкове.
Нову «функцію» виявив дослідник безпеки Мохаммад Аскар і підтверджено BleepingComputer. Детальніше тут.