Agencias / Ciudad de México.- Una reciente actualización del programa antivirus Microsoft Defender de Windows 10 permite a los usuarios descargar cualquier archivo desde una ubicación remota con la línea de comandos ‘MpCmdRun.exe’, informa el portal BleepingComputer.
Mohammad Askar, investigador de seguridad, estima que piratas informáticos podrían emplear la instrucción ‘DownloadFile’ en la consola del sistema para instalar elementos maliciosos.
Otros especialistas aseguran que Microsoft Defender detectaría un ‘malware’ descargado de ese modo, pero se desconoce si otro ‘software’ antivirus descubriría esa maniobra.
Un portavoz de la tecnológica estadounidense afirmó la semana pasada a Forbes que los programas Microsoft Defender y Microsoft Defender Advanced Threat Protection “seguirán protegiendo a los clientes del ‘malware'”, debido a que “detectan los archivos maliciosos descargados al sistema a través de la función de descarga de archivos del antivirus”.
No parece haber tampoco riesgo de escalada de privilegios, puesto que el usuario que inicia la descarga no puede descargarlos a directorios sobre los cuales no tiene privilegios. Lo que algunos argumentan como riesgo es la posibilidad de que otros antivirus no pueda detectar los archivos maliciosos descargador a través de Windows Defender.
Es algo que Microsoft no ha aclarado por ahora, y la función como tal, que es reciente, no ha sido explicada detalladamente. Para los administradores de sistemas puede representar una puerta adicional que monitorizar, pero no es una vulnerabilidad como tal en el sistema.
Well, you can download a file from the internet using Windows Defender itself.
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
— Askar (@mohammadaskar2) September 2, 2020