Windows 10アンチウイルスの最近の更新プログラムであるMicrosoftDefenderを使用すると、マルウェアやその他のファイルをWindows 10PCにダウンロードできます。
新着情報?
悪意のある目的で使用される可能性のある正当なオペレーティングシステムファイルは、LOLBIN(Living-off-the-landバイナリ)として知られています。
Microsoft Defenderの最近の更新では、コマンドラインツールMpCmdRun.exeで、リモートの場所からファイルをダウンロードできるようになりました。攻撃者はこの機能を使用して、マルウェアを標的のシステムに配信できます。
この革新により、Microsoft Defenderは、サイバー犯罪者によって悪用される可能性のあるWindowsプログラムの長いリストに含まれるようになりました。 Windows10アンチウイルスをLOLBINのように使用できるようになりました。
この脆弱性は、Windows Defenderコマンドラインツールの最近の更新後に、セキュリティ研究者のMohammadAskarによって発見されました。
このツールは、新しい-DownloadFile引数をサポートするようになりました。このディレクティブを使用すると、ローカルユーザーはMicrosoft Antimalware Serviceコマンドラインユーティリティ(MpCmdRun.exe)を使用して、次のコマンドを使用してリモートの場所からファイルをダウンロードできます。
MpCmdRun.exe -DownloadFile -url [URL] -path [ファイルを保存するパス]
テストでは、BleepingComputerは、最近のGarmin攻撃で使用されたWastedLockerランサムウェアのサンプルであるresources.exeをダウンロードできました。
興味深いことに、Microsoft Defenderは、MpCmdRun.exeでダウンロードされた悪意のあるファイルを検出しますが、他のウイルス対策プログラムが危険なファイルをどのように処理するかは不明です。
したがって、Windows管理者は、悪意のある目的で使用されないように、追加の実行可能ファイルを監視する必要があります。