В недавних обновлениях к штатному антивирусу Windows появилась функция скачивания файлов, которую можно использовать в том числе и для скачивания в систему вредоносного ПО. Это может создавать новый вектор угрозы.

Внезапная угроза

Обновление к Windows Defender внезапно сделало его потенциальным инструментом для кибератак. 

Как установил эксперт по информационной безопасности по имени Мухаммад Аскар (Mohammad Askar), в одном из последних обновлений в утилите командной строки MpCmdRun.exe, относящейся к антивирусному пакету, появилась функция -DownloadFile, позволяющая скачивать любые файлы с произвольных локаций.

Проверка показала, что с ее помощью скачивать можно всё, что угодно, включая явно вредоносные программы. Сам Аскар смог скачать инструмент для атак и пентестов из набора Cobalt Strike; в редакции Bleeping Computer из внешнего ресурса выкачали исполняемый файл шифровальщика WastedLocker. 

Эксперты компании SEC Consult Services убедились также, что администраторские полномочия для использования утилиты не нужны.

Не все так страшно

Однако, даже если использовать Windows Defender для скачки на ПК вредоносного ПО, Windows Defender сам по себе начинет сигнализировать о природе скачанного файла и попытается её ликвидировать или отправить в карантин. 

Это снижает остроту проблемы, хотя, по мнению экспертов по безопасности, не устраняет её полностью.

«Windows Defender устанавливается в Windows 10 по умолчанию, соответственно, его утилиты присутствуют в системе в любом случае; его можно деактивировать в пользу использования другого защитного инструмента, но возможность скачивания в систему произвольного ПО через описанную утилиту не исчезает, – отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. – Существует ряд сценариев, при котором таким образом можно обходить системную защиту (например, многоэтапная и многокомпонентная загрузка вредоносов, где важнее всего именно первый этап). Это превращает Windows Defender в небезопасный для системных администраторов инструмент. Другое дело, что эксплуатировать его можно только локально. И ничто не мешает правильно настроить фаерволл, чтобы эта утилита не могла быть использована во вред».

«Несмотря на эти отчеты, антивирус Microsoft Defender и Microsoft Defender ATP все равно будут защищать ПК клиента от вредоносного ПО. Эти программы обнаруживают вредоносные файлы, загруженные в систему, с помощью функции проверки загруженных файлов» – сообщил CNews представитель Microsoft.