Windows 10のデフォルトのアンチウイルスソフト「Windows Defender」にひっそりと新機能が追加され、この機能がセキュリティ研究者の憂慮を招いていることがわかりました(BleepingComputer)。
Well, you can download a file from the internet using Windows Defender itself.
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
— Askar (@mohammadaskar2) September 2, 2020
Windows DefenderのVersion 4.18.2007.9または4.18.2009.9には、コマンドラインを利用してファイルをダウンロードする機能が追加されていて、以下のように呼び出すことができるとのこと。
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
悪意のある目的で悪用される可能性のある合法的なオペレーティングシステムファイルは、living-off-the-land binariesまたはLOLBINとして知られており、MpCmdRun.exeがハッカーによって悪用される可能性が心配されているのです。
幸いWindows Defenderはダウンロードしたファイルの検証を実行しますが、ウィルスの検出機能は完璧ではなく、悪意のあるファイルが意図せずダウンロードされてしまう危険性が残されています。