Debido a una actualización reciente, Windows Defender ahora tiene la capacidad de descargar archivos a través de una herramienta de línea de comandos. Por lo tanto, el antivirus de Windows 10 ahora se puede usar para descargar virus.
Una reciente actualización en Windows Defender le dió la capacidad al programa de descargar archivos a través de una herramienta de línea de comandos, incluidos los maliciosos (troyanos, spyware, ransomware y otro tipo de malware). Está claro que este no es el propósito de la nueva función, pero podría utilizarse para eso. Afortunadamente, esto no es algo por lo que se deban preocupar los usuarios domésticos, ya que solo se puede hacer de forma local.
Esta nueva característica, descubierta por Mohammad Askar, permite efectivamente que un atacante local aproveche Defender por lo que se conoce como «LOLBin«. De esta forma se usa un software legítimo para algo malicioso, en este caso, se usa un antivirus para descargar un virus.
Well, you can download a file from the internet using Windows Defender itself.
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
— Askar (@mohammadaskar2) September 2, 2020
Parece que esta función se agregó a Windows Defender en la actualización 4.18.2007.8 en julio. De todas formas, esto no parece tan descuidado como lo parece. Por un lado, Defender seguirá analizando los archivos descargados a través de este método, por lo que en teoría, aún debería brindar protección contra el malware. En segundo lugar, esto debe ser iniciado si o si por un usuario local.
Sin embargo, los administradores de sistemas deben tener esto en cuenta para tomar las precauciones necesarias. No sería raro que, por ejemplo, un empleado enojado por perder su trabajo quiera generar daño.