من المفارقات المثيرة للسخرية أن التحديث الأخير لبرنامج Microsoft Defender لمكافحة الفيروسات في نظام التشغيلWindows 10 يسمح له بتنزيل البرامج الضارة والملفات الأخرى على جهاز كمبيوتر المستهلك الذي يعمل بنظام ويندوز.

تُعرف ملفات نظام التشغيل المشروعة التي يمكن إساءة استخدامها لأغراض ضارة بالثنائيات التي تعيش خارج الأرض أو LOLBINs. وفي تحديث Microsoft Defender الأخير، تم تحديث أداة سطر الأوامر MpCmdRun.exe لتنزيل الملفات الضارة عن بعد.

وبذلك مع هذه الميزة الجديدة، أصبح مايكروسوفت ديفندر الآن جزءًا من القائمة الطويلة لبرامج ويندوز التي يمكن للمهاجمين والقراصنة إساءة استخدامها.

يمكن استخدام Microsoft Defender باعتباره LOLBIN

الثغرة الضارة الحديثة التي اكتشفها الباحث الأمني ​​محمد عسكر تفيد بأن التحديث الأخير لأداة سطر أوامر Microsoft Defender يتضمن الآن وسيطة سطر أوامر “DownloadFile” جديدة، في الإصدار 4.18.2007.9 أو 4.18.2009.9.

يسمح هذا التوجيه باستخدام الأداة المساعدة لسطر أوامر خدمة Microsoft Antimalware (MpCmdRun.exe) لتنزيل ملف من موقع بعيد باستخدام الأمر التالي:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

الخبر السار هو أن مايكروسوفت ديفندر سيكتشف الملفات الضارة التي تم تنزيلها باستخدام MpCmdRun.exe ، ولكن من غير المعروف ما إذا كانت برامج AV الأخرى ستسمح لهذا البرنامج بتجاوز اكتشافاتها.

على كل الأحوال، مع هذا الاكتشاف، أصبح لدى المسؤولين وفرق العمل في مايكروسوفت الآن ملف Windows إضافي قابل للاختراق من جهات ضارة ومؤذية يحتاجون إلى مراقبته دائما حتى لا يتم استخدامه ضدهم.