Microsoft Defender po aktualizacji może służyć do pobrania malware

Aż chciałoby się rzec – co za ironia. Jednak wygląda na to, że nowa aktualizacja antywirusa od Microsoft na Windows 10 powoduje, że staje się on nowym narzędziem typu „living of the land”. Zaraz obok PowerShell czy CertUtil cyberprzestępcy będą mogli wykorzystać Microsoft Defendera do pobrania złośliwego kodu z Internetu.

Wszystko za sprawą nowej aktualizacji programu Microsoft Defender, gdzie narzędzie wiersza polecenia MpCmdRun.exe otrzymało możliwość pobierania plików ze zdalnej lokalizacji, co może być wykorzystywane przez osoby atakujące. Dzięki tej nowej funkcji program Microsoft Defender znalazł się na długiej liście programów systemu Windows, które mogą być wykorzystywane przez lokalnych atakujących.

Odkryta przez badacza bezpieczeństwa Mohammada Askara, ostatnia aktualizacja narzędzia MpCmdRun.exe zawiera teraz nowy dostępny argument wiersza polecenia -DownloadFile.
Ten parametr umożliwia użytkownikowi lokalnemu korzystanie z narzędzia wiersza poleceń usługi Microsoft Antimalware Service (MpCmdRun.exe) w celu pobrania pliku ze zdalnej lokalizacji za pomocą następującego polecenia:

MpCmdRun.exe -DownloadFile -url [ścieżka_url] -path [ścieżka_do_zapisu_pliku]

Funkcja ta została dodana do Microsoft Defender na Windows 10 w wersjach 4.18.2007.9 oraz 4.18.2009.9.

Poniżej przykład wywołania funkcji i pobrania pliku zawierającego kod popularnego ransomware:

Poniżej pobranie przez odkrywcę podatności złośliwego kodu Cobalt Strike za pomocą polecenia MpCmdRun.exe:

Po tym odkryciu, administratorzy i oficerowie bezpieczeństwa muszą dodać kolejną aplikację do monitorowania pod kątem pobierania złośliwego ładunku. Wyłączenie Microsoft Defender tutaj nie pomoże. Jedynie całkowite odinstalowanie go z systemu (co nie jest proste) usunie narzędzie odpowiedzialne za komendę do pobierania z zewnętrznych źródeł.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...

10 min czytania 25 cze 2026 08:08

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...

4 min czytania 26 cze 2026 08:00

Entra Connect Sync odchodzi w cień

Przez lata Microsoft Entra Connect Sync był jednym z tych elementów infrastruktury, które po prostu miały działać. Stał gdzieś w środowisku lokalnym, synchronizował użytkowników, grupy i atrybuty z Active Di...

7 min czytania 22 cze 2026 07:35

Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

W dzisiejszym odcinku hakowania pokażemy stary i sprawdzony, choć nieco zmodyfikowany sposób na przejęcie pełnej kontroli w Windows i to jeszcze przed zalogowaniem się do systemu (na ekranie powitalnym). Za je...

7 min czytania 27 mar 2023 06:52

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00