Windows Defender trở thành mối đe dọa đối với các chuyên gia bảo mật

windows defender tro thanh moi de doa doi voi cac chuyen gia bao mat 1 jpg

Windows Defender trong Windows 10 là một công cụ tuyệt vời để bảo vệ hệ thống của bạn nhưng bản cập nhật mới đã biến nó thành một mối đe dọa.

Lệnh DownloadFile mới có thể được sử dụng để tải xuống bất kỳ tệp bên ngoài nào, bao gồm cả phần mềm độc hại trên máy tính của bạn.

Windows Defender của Windows 10 là tuyến phòng thủ đầu tiên trong trường hợp bị phần mềm độc hại tấn công và nó cũng hoạt động khá tốt. Tuy nhiên trong bản cập nhật mới nhất của Windows Defender, bạn có thể dùng chương trình này để tải xuống bất kỳ thứ gì từ Internet bằng một dòng lệnh rất đơn giản.

Với cách này bạn cũng có thể dùng nó để tải cả phần mềm độc hại, vì vậy tùy vào đối tượng khác nhau có thể khai thác tài liệu hoặc bị tính năng này xâm phạm đến thông tin cá nhân.

Làm cách nào để sử dụng Windows Defender để tải xuống phần mềm độc hại?

windows defender tro thanh moi de doa doi voi cac chuyen gia bao mat 2 jpg

Thủ thuật / lỗ hổng bảo mật này được phát hiện bởi nhà nghiên cứu bảo mật Mohammad Askar, người đã đăng phát hiện của mình trên Twitter.

Thực sự đơn giản để sử dụng Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) để tải xuống bất kỳ tệp nào từ nguồn bên ngoài vào máy tính của bạn.

Bước 1: Mở Command Prompt (Cửa sổ chạy lệnh) bằng cách bấm tổ hợp phím Windows + R, sau đó nhập cmd rồi bấm Enter.

windows defender tro thanh moi de doa doi voi cac chuyen gia bao mat 3 jpg

Bước 2: Nhập dòng lệnh sau để download thứ bạn cần.

C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2008.9-0\MpCmdRun.exe -url <url> -path <local-path>

Hoặc

MpCmdRun.exe -DownloadFile -url <url> -path <local-path>

Trong đó:

  • <url>: là url link tải

  • <local-path>: là đường dẫn lưu file

Trong lúc thử nghiệm thì Askar đã có thể tải xuống Cobalt Strike beacon, một công cụ tấn công nổi tiếng bằng cách sử dụng dòng lệnh này.

Lệnh mới này được thêm trong phiên bản 4.18.2007.8-0 trở lên, mang lại thời gian hoàn hảo cho những kẻ tấn công, tin tặc...Về cơ bản thì tính năng này biến Windows Defender thành một LOLBIN (tồn tại như tệp nhị phân trực tuyến), một tệp hệ thống vô hại có thể được sử dụng cho các mục đích xấu.

May mắn thay sau khi bạn tải xuống tệp có hại thì nó sẽ được phát hiện bởi chính Windows Defender hoặc một phần mềm chống vi-rút khác nếu có. Từ một phần mềm bảo vệ đáng tin cậy, Windows Defender đã trở thành một mối đe dọa tiềm tàng mà quản trị viên và chuyên gia bảo mật sẽ phải giám sát chặt chẽ.

Bạn suy nghĩ thế nào về lệnh DownloadFile mới trên phiên bản Windows Defender này, hãy để lại comment để chúng ta cùng bàn luận nhé.

Ngẫu nhiên

Bài viết khác

Xem thêm