Irónicamente, Microsoft Defender se puede usar para descargar malware

Iniciado por AXCESS, Septiembre 04, 2020, 01:55:56 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Irónicamente, una actualización reciente de la solución antivirus Microsoft Defender de Windows 10  le permite descargar malware y otros archivos a una computadora con Windows.

Los archivos legítimos del sistema operativo de los que se puede abusar con fines malintencionados se conocen como archivos binarios de living-off-the-land o LOLBIN.

En una actualización reciente de Microsoft Defender, la herramienta MpCmdRun.exe de la línea de comandos se actualizó para incluir la capacidad de descargar archivos desde una ubicación remota, que los atacantes podrían abusar.

Con esta nueva característica, Microsoft Defender ahora es parte de la larga lista de programas de Windows que pueden ser abusados por atacantes locales.

Microsoft Defender se puede usar como LOLBIN

Descubierta por el investigador de seguridad Mohammad Askar, una actualización reciente de la herramienta de línea de comandos de Microsoft Defender ahora incluye un nuevo argumento de línea de comandos -DownloadFile.

Esta directiva permite que un usuario local utilice la utilidad de línea de comandos del servicio Microsoft Antimalware (MpCmdRun.exe) para descargar un archivo desde una ubicación remota usando el siguiente comando:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En las pruebas realizadas, esta característica se agregó a Microsoft Defender en la versión 4.18.2007.9 o 4.18.2009.9.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como puede ver a continuación, se pudo descargar el archivo resources.exe, la muestra de WastedLocker Ransomware utilizada en un ataque reciente de Garmin.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La buena noticia es que Microsoft Defender detectará archivos maliciosos descargados con MpCmdRun.exe, pero se desconoce si otro software antivirus permitirá que este programa eluda sus detecciones.

Con este descubrimiento, los administradores y los blue teamers ahora tienen un ejecutable de Windows adicional que necesitan monitorear para que no se use en su contra.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta