Irónicamente, Microsoft Defender se puede usar para descargar malware

Irónicamente, una actualización reciente de la solución antivirus Microsoft Defender de Windows 10 le permite descargar malware y otros archivos a una computadora con Windows.

Los archivos legítimos del sistema operativo de los que se puede abusar con fines malintencionados se conocen como archivos binarios de living-off-the-land o LOLBIN.

En una actualización reciente de Microsoft Defender, la herramienta MpCmdRun.exe de la línea de comandos se actualizó para incluir la capacidad de descargar archivos desde una ubicación remota, que los atacantes podrían abusar.

Con esta nueva característica, Microsoft Defender ahora es parte de la larga lista de programas de Windows que pueden ser abusados por atacantes locales.

Microsoft Defender se puede usar como LOLBIN

Descubierta por el investigador de seguridad  Mohammad Askar , una actualización reciente de la herramienta de línea de comandos de Microsoft Defender ahora incluye un nuevo -DownloadFileargumento de línea de comandos.

Esta directiva permite que un usuario local use la utilidad de línea de comandos del servicio Microsoft Antimalware (MpCmdRun.exe) para descargar un archivo desde una ubicación remota usando el siguiente comando:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

En las pruebas realizadas por BleepingComputer.com, esta característica se agregó a Microsoft Defender en la versión 4.18.2007.9 o 4.18.2009.9.

Ayuda de MpCmdRun

Como puede ver a continuación, BleepingComputer pudo descargar el   archivo resources.exe , la muestra de WastedLocker Ransomware utilizada en un   ataque reciente de Garmin.

Descarga de ransomware con Microsoft Defender

La buena noticia es que Microsoft Defender detectará archivos maliciosos descargados con MpCmdRun.exe, pero se desconoce si otro software antivirus permitirá que este programa eluda sus detecciones.

Con este descubrimiento, los administradores y los blue teamers ahora tienen un ejecutable de Windows adicional que necesitan monitorear para que no se use en su contra.

Fuente: https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/

 

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información