Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Microsoft Defender po aktualizacji może służyć do pobrania malware

Kapitan Hack / Cybernews / Microsoft Defender po aktualizacji może służyć do pobrania malware

Aż chciałoby się rzec – co za ironia. Jednak wygląda na to, że nowa aktualizacja antywirusa od Microsoft na Windows 10 powoduje, że staje się on nowym narzędziem typu „living of the land”. Zaraz obok PowerShell czy CertUtil cyberprzestępcy będą mogli wykorzystać Microsoft Defendera do pobrania złośliwego kodu z Internetu.

Wszystko za sprawą nowej aktualizacji programu Microsoft Defender, gdzie narzędzie wiersza polecenia MpCmdRun.exe otrzymało możliwość pobierania plików ze zdalnej lokalizacji, co może być wykorzystywane przez osoby atakujące. Dzięki tej nowej funkcji program Microsoft Defender znalazł się na długiej liście programów systemu Windows, które mogą być wykorzystywane przez lokalnych atakujących.

Odkryta przez badacza bezpieczeństwa Mohammada Askara, ostatnia aktualizacja narzędzia MpCmdRun.exe zawiera teraz nowy dostępny argument wiersza polecenia -DownloadFile.
Ten parametr umożliwia użytkownikowi lokalnemu korzystanie z narzędzia wiersza poleceń usługi Microsoft Antimalware Service (MpCmdRun.exe) w celu pobrania pliku ze zdalnej lokalizacji za pomocą następującego polecenia:

MpCmdRun.exe -DownloadFile -url [ścieżka_url] -path [ścieżka_do_zapisu_pliku]

Funkcja ta została dodana do Microsoft Defender na Windows 10 w wersjach 4.18.2007.9 oraz 4.18.2009.9.

Autor: 2 min czytania

Poniżej przykład wywołania funkcji i pobrania pliku zawierającego kod popularnego ransomware:

Źródło: bleepingcomputer.com

Poniżej pobranie przez odkrywcę podatności złośliwego kodu Cobalt Strike za pomocą polecenia MpCmdRun.exe:

Po tym odkryciu, administratorzy i oficerowie bezpieczeństwa muszą dodać kolejną aplikację do monitorowania pod kątem pobierania złośliwego ładunku. Wyłączenie Microsoft Defender tutaj nie pomoże. Jedynie całkowite odinstalowanie go z systemu (co nie jest proste) usunie narzędzie odpowiedzialne za komendę do pobierania z zewnętrznych źródeł.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Najnowsze badania firmy Tenable ujawniają zestaw co najmniej siedmiu poważnych podatności w modelach AI GPT‑4o i GPT‑5, wykorzystywanych przez ChatGPT, które umożliwiają złośliwym podmiotom przejęcie k...
5 min czytania 6 lis 2025 08:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...
5 min czytania 31 paź 2025 08:00
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.