1500
#1
Bản cập nhật Microsoft Defender gần đây đã khiến phần mềm chống vi-rút Windows 10 có thể bị sử dụng như một phương tiện để tải các tệp độc hại từ web.
Theo nhà kiểm tra bảo mật Mohammad Askar, những thay đổi đối với công cụ dòng lệnh của Microsoft Defender có thể cho phép những kẻ tấn công sử dụng phần mềm này như một tệp nhị phân LOLBin ( living-off-the-land binary).
Nhiều LOLBin có trong Windows 10, tất cả đều phục vụ chức năng hợp pháp. Tuy nhiên, với các đặc quyền phù hợp, tin tặc có thể lạm dụng các mã nhị phân này để vượt qua các cơ sở bảo mật và tiến hành các cuộc tấn công ngầm.
Theo Askar, công cụ dòng lệnh của Microsoft Defender hiện hỗ trợ chức năng “-DownloadFile” mới. Thay đổi được cho là đã có hiệu lực với Microsoft Defender phiên bản 4.18.2007.9 hoặc 4.18.2009.9.
Do đó, kẻ tấn công trên mạng cục bộ có thể sử dụng Microsoft Antimalware Service Command Line Utility để tải xuống tệp từ internet bằng lệnh sau: “MpCmdRun.exe -DownloadFile -url <url> -path <local-path>” .
Tải ransomware bằng Microsoft Defender
Sử dụng kỹ thuật này, Askar có thể tải xuống phần mềm độc hại Cobalt Strike từ một vị trí từ xa trực tiếp thông qua Microsoft Defender.
Askar khuyên rằng các quản trị viên hệ thống nên cập nhật các LOLBin mới vào danh sách theo dõi của họi, nhằm đảm bảo nó không được sử dụng để thực hiện một cuộc tấn công.
Sau khi sự việc được đăng tải, Microsoft đã có phản hồi, cho rằng vấn đề này sẽ không gây nguy hiểm cho người dùng: "Microsoft Defender antivirus và Microsoft Defender ATP vẫn sẽ bảo vệ khách hàng khỏi phần mềm độc hại. Các chương trình này phát hiện các tệp độc hại được tải xuống hệ thống thông qua tính năng tải của trình chống virus - Người phát ngôn của Microsoft cho biết.
Nói cách khác, bạn có thể tải xuống bất kỳ tệp nào (bao gồm cả phần mềm độc hại) nhưng Windows Defender sẽ quét các tệp đó và chặn các tệp độc hại. Không thể sử dụng Windows Defender để chiếm quyền kiểm soát hệ thống hoặc lây nhiễm các mối đe dọa bảo mật cho máy tính.
Xem thêm:
Nguồn: Bleeping Computer
Sửa lần cuối:
