Hệ thống Windows Defender chống Virus của Windows 10 hiện có thể dùng để tải... Virus

Hệ thống Windows Defender chống Virus của Windows 10 hiện có thể dùng để tải... Virus

Bản cập nhật gần đây của Windows Defender đã cung cấp khả năng tải xuống tập tin (kể cả những file nhiễm virus) thông qua công cụ dòng lệnh.

Updae mới dành cho phần mềm chống virus tích hợp trong Windows 10 đã "dạy" chương trình một thủ thuật mới: cách tải tệp xuống thông qua công cụ dòng lệnh, bao gồm cả những file độc hại như trojan, spyware, ransomware và rất nhiều thứ khác.

Dĩ nhiên, theo lẽ thường tình thì không ai lại muốn download về những file rác để làm hỏng máy cả, nhưng chức năng mới vẫn có khả năng bị khai thác cho mục đích bất chính. May mắn thay, đây không phải là điều mà người dùng thông thường cần phải lo lắng.

Khả năng mới này được phát hiện bởi Mohammad Askar (thông qua Bleeping Computer), một chuyên gia bảo mật đã đăng tải và chia sẻ hàng trăm bài viết chuyên môn, theo như hồ sơ Udemy của anh cho biết.

"Chà, bạn có thể download tệp trên mạng bằng chính Windows Defender. Trong ví dụ này, tôi có thể tải xuống Cobalt Strike (một file beacon theo dõi người dùng) bằng cách sử dụng tệp nhị phân 'MpCmdRun.exe', vốn là 'Dòng lệnh bảo vệ phần mềm độc hại của Microsoft'", Askar chia sẻ trên Twitter.

Điều này cho phép kẻ tấn công cục bộ tận dụng Defender một cách hiệu quả dưới dạng một thứ gọi là hệ nhị phân living-off-the-land (LOLBin). Đó là khi phần mềm hợp pháp được sử dụng cho một thứ gì đó độc hại - trong trường hợp này là sử dụng chương trình chống vi-rút để tải về vi-rút.

Có vẻ như tính năng mới này được thêm vào Windows Defender thông qua bản cập nhật 4.18.2007.8 từ tận tháng 7. Trang tin Bleeping Computer đã tiến hành thử nghiệm và có thể tải xuống loại mã độc tống tiền (ransomware) WastedLocker , thứ từng gây ra xung đột cơ sở hạ tầng của tập đoàn công nghệ đa quốc gia Garmin, khiến công ty phải trả khoản tiền chuộc nhiều triệu đô la.

Tuy nhiên, chúng ta không cần phải quá lo lắng bởi thứ nhất, Defender vẫn sẽ tiến hành quét các tệp tải xuống thông qua phương pháp này. Vì vậy về lý thuyết, máy tính vẫn được bảo vệ khỏi phần mềm độc hại. Thứ hai, quá trình này cần phải được khởi tạo bởi một người dùng cục bộ.

Dù sao đi nữa, đây là điều mà các quản trị viên hệ thống nên biết để họ có thể thực hiện các biện pháp phòng ngừa thích hợp. Việc một nhân viên bất hảo gây ra những trò nghịch ngợm không phải là chuyện chưa từng có, nhất là khi họ cảm thấy bất mãn do sắp bị sa thải hay bất kỳ lý do nào khác.

Theo pcgamer