Bản cập nhật gần đây cho chương trình chống vi-rút của Bộ bảo vệ Microsoft (trước đây làWindows bảo vệ) từ Windows 10 đã giới thiệu một tính năng mới rất cụ thể: bây giờ nó có thể tải xuống các tệp bằng công cụ dòng lệnh của nó MpCmdRun.exe🇧🇷 Bản thân tài nguyên nó không độc hạinhưng vấn đề là nó cũng có thể bị lợi dụng để làm cho phần mềm chống vi-rút tải phần mềm độc hại vào máy tính của người dùng.
Được phát hiện bởi nhà nghiên cứu bảo mật Mohammad Askar, bản cập nhật gần đây cho công cụ dòng lệnh chống vi-rút của Microsoft Defender đã giới thiệu đối số mới “-Tải tập tin🇧🇷 Đối số này cho phép người dùng cục bộ trên Windows 10 Sử dụng công cụ MpCmdRun.exe để tải xuống tệp từ một vị trí từ xa bằng cách sử dụng lệnh theo mô hình bên dưới:
Playback / BleepingComputer
Các thử nghiệm cho thấy rằng tính năng này đã được thêm vào Microsoft Defender trong 4.18.2007.9 hoặc 4.18.2009.9 của phần mềm chống vi-rút Windows 10:
Playback / BleepingComputer
Như bạn có thể thấy trong thử nghiệm dưới đây do trang web BleepingComputer thực hiện, công cụ có thể tải xuống tệp “resource.exe“, một mẫu ransomware WastedLocker được sử dụng gần đây trong một cuộc tấn công chống lại Garmin:
Playback / BleepingComputer
Tin tốt là Microsoft Defender sẽ phát hiện bất kỳ tệp độc hại nào được tải xuống bằng công cụ MpCmdRun.exe. Một chi tiết khác là người dùng phải đăng nhập cục bộ để thực hiện lệnh. Với khám phá này, các quản trị viên và nhà nghiên cứu bảo mật giờ đây có thêm một tệp thực thi hơn là Windows cần được giám sát để không bị những kẻ tấn công lợi dụng.
Cần nhớ rằng các vấn đề được giới thiệu bởi các bản cập nhật Microsoft Defender không phải là mới đối với người dùng. Vào tháng 3, chẳng hạn, một bản cập nhật cho phần mềm chống vi-rút của Microsoft đã khiến nó hiển thị thông báo cho biết rằng các tệp chưa được xác minh bởi anh ấy.
Vào tháng 4, một bản cập nhật khác khiến phần mềm chống vi-rút bắt đầu hiển thị lỗi khi người dùng chọn thực hiện quét toàn bộ máy tính. Trong trường hợp này, giải pháp bảo mật của Windows 10 sẽ bị “kẹt” tại một điểm cụ thể trong quá trình quét và điều này sẽ khiến dịch vụ chống vi-rút chính tắt đột ngột. Nếu người dùng truy cập Trình xem sự kiện từ Windowsanh ấy sẽ thấy rằng dịch vụ đã kết thúc với lỗi chung chung “Lỗi truy cập chung bị từ chối”.
Microsoft Defender (trước đây làWindows bảo vệ) trong Windows 10
(Sao chép / Fabio Rosolen)
Via: PC Gamer Nguồn: BleepingComputer
🇧🇷
