Neue Funktion von Windows Defender beunruhigt Sicherheitsspezialisten

Windows Defender hat eine neue Funktion hinzugefügt, und die Sicherheitsspezialisten sind nicht allzu glücklich darüber, da es die Angriffsfläche von Windows vergrößert hat.

Version 4.18.2007.9 oder 4.18.2009.9 der App hat die Möglichkeit hinzugefügt, Dateien über die Befehlszeile herunterzuladen, z.B.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

... kann nun verwendet werden, um eine Binärdatei aus dem Internet herunterzuladen.

Obwohl dies an sich kein Exploit ist, erlaubt die Funktion ein Skript, das die Kommandozeile starten kann, um weitere Dateien aus dem Internet unter Verwendung von nativen, so genannten Living-off-the-land-Binärdateien oder LOLBINs zu importieren.

Das Hinzufügen der Funktion zu Windows Defender bedeutet, dass es eine weitere Anwendung gibt, die von den Administratoren im Auge behalten werden muss, und eine weitere Anwendung, die von Hackern ausgenutzt werden kann.

Glücklicherweise scannt Windows Defender immer noch die Anwendungen, die es herunterlädt, aber das ist natürlich nicht unfehlbar.

Das neue "Feature" wurde vom Sicherheitsforscher Mohammad Askar entdeckt und von BleepingComputer verifiziert. Lesen Sie hier mehr darüber.