讽刺！Win10的Microsoft Defender可以用于下载恶意软件

9月3日早间消息：具有讽刺意味的是，对Windows 10的Microsoft Defender防病毒解决方案的最新更新使它可以将恶意软件和其他文件下载到Windows计算机。

可以出于恶意目的滥用的合法操作系统文件被称为“非本地二进制文件”或“ LOLBIN”。

在最近的Microsoft Defender更新中，命令行MpCmdRun.exe工具已经更新，可以从远程位置下载恶意文件。

通过此新功能，Microsoft Defender现在已成为可被本地攻击者滥用的Windows程序的一长串。

Microsoft Defender可以用作LOLBIN

由安全研究员Mohammad Askar发现，Microsoft Defender命令行工具的最新更新现在包括一个新的-DownloadFile命令行参数。

此伪指令允许本地用户使用以下命令从Microsoft恶意软件服务命令行实用程序(MpCmdRun.exe)从远程位置下载文件：

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

在BleepingComputer.com进行的测试中，此功能已添加到Microsoft Defender版本4.18.2007.9或4.18.2009.9中。

MpCmdRun帮助

如下所示，BleepingComputer能够下载resources.exe文件，该文件是最近Garmin攻击中使用的WastedLocker Ransomware示例。

使用Microsoft Defender下载勒索软件

好消息是，Microsoft Defender将检测到通过MpCmdRun.exe下载的恶意文件，但未知是否其他AV软件允许此程序绕过其检测。

通过此发现，管理员和蓝队成员现在拥有了一个他们需要监视的其他Windows可执行文件，因此该文件不会被他们使用。