Please enable Cookies and reload the page.
This process is automatic. Your browser will redirect to your requested content shortly.
Please allow up to 5 seconds…
// www.bleepingcomputer.com
Одна из главных задач любого антивируса — блокировка загрузки компьютерных вирусов из интернета. Но после очередного обновления Microsoft Defender, встроенный в Windows 10, получил необычную функцию, за счёт которой он может использоваться хакерами для скачивания на компьютер самых разных файлов — в том числе и вредоносных.
Microsoft Defender
На необычную возможность приложения обратил внимание исследователь в области IT-безопасности Мохаммад Аскар. В своём Twitter-блоге он сообщил, что ему удалось скачать компонент фреймворка Cobalt Strike, используя средство командной строки -DownloadFile приложения Microsoft Antimalware Service (MpCmdRun.exe). Повторить эксперимент удалось и энтузиастам портала Bleeping Computer, загрузившим исполняемый файл программы-вымогателя WastedLocker.
Войти Регистрация Используя сервисы Твиттера, вы соглашаетесь с Политикой использования файлов cookie и Передачей данных за пределы стран ЕС. Мы и наши партнеры работаем в мировом масштабе и используем файлы cookie, необходимые в том числе для аналитики, персонализации и рекламы. Askar @mohammadaskar2 Well, you can download a file from the internet using Windows Defender itself.
// Дальше — twitter.com
По данным специалистов, соответствующая функция активна в версиях Microsoft Defender 4.18.2007.9 и 4.18.2009.9. С её помощью локальный пользователь, в том числе злоумышленник, может загружать различные файлы с удалённых серверов. И хотя сам «Защитник Microsoft» при этом способен распознать вредоносные файлы, загруженные с помощью MpCmdRun.exe, пока неизвестно, насколько эффективными будут сторонние антивирусные решения в отношении такого метода скачивания файлов.
По словам исследователя, в связи с этим открытием системным администраторам стоит добавить ещё один исполняемый файл Windows в список потенциальных «дыр» в операционной системе, которые необходимо отслеживать для предотвращения угроз цифровой безопасности.
вроде якобы залепили дыру, но тут же выяснилось, что
We reported in September that Windows Defender has added the ability to download files via the command line using the app, e.g. MpCmdRun.exe -DownloadFile -url -path … which could be used to download an abitrary binary from the internet. While not an exploit in itself, the feature allows a script which can launch the […]
// mspoweruser.com
Аналогичная функция, позволяющая загружать хакерский софт на компьютеры пользователей, недавно была обнаружена в службе Windows Update.
О найденной уязвимости сообщил исследователь в области IT-безопасности Дэвид Миддлхёрст. В своём отчёте он указал, что служебная программа Windows Update (wuauclt), расположенная в системной папке system32, помимо функции проверки и установки апдейтов, может использоваться злоумышленниками для выполнения вредоносного кода в Windows 10, загружая его из произвольной, специально созданной библиотеки DLL.
При использовании определённых параметров командной строки при запуске Центра обновлений такой метод позволяет хакерам обходить службу контроля учётных записей Windows (UAC) и инструменты Защитника Windows (WDAC), а также может использоваться для обеспечения устойчивости вируса в уже скомпрометированных системах.
Примечательно, что Миддлхёрст нашёл образец вредоносного кода, который хакеры уже использовали в реальных атаках.
Представители Microsoft заявление исследователя официально ещё не прокомментировали.