Trong bản cập nhật gần đây công cụ MpCmdRun.exe bên trong Microsoft Defender cho Windows 10 được bổ sung thêm tính năng tải về tập tin. Lợi dụng điều này, tin tặc có thể tải về mã độc và các phần mềm độc hại khác bằng chính Microsoft Defender. Đây là phương thức tấn công có tên living of the land, tận dụng chính những thứ có sẵn trên máy tính của nạn nhân để tấn công nạn nhân.

Nhà nghiên cứu bảo mật Mohammad Askar là người đầu tiên phát hiện ra vấn đề này. Để tải về mã độc bằng Microsoft Defender qua công cụ MpCmdRun.exe, tin tặc có thể sử dụng dòng lệnh sau:

MpCmdRun.exe có thêm chức năng tải tập tin

MpCmdRun.exe có thêm chức năng tải tập tin

Trong thử nghiệm nội bộ, trang BleepingComputer.com đã có thể tải về tập tin bằng Microsoft Defender phiên bản 4.18.2007.9 hoặc 4.18.2009.9. Như bạn có thể thấy, BleepingComputer đã có thể tải về tập tin resources.exe chứa mã nguồn của ransomware WastedLocker từng được sử dụng trong cuộc tấn công vào hãng Garmin mới đây.

BleepingComputer tải về thành công ransomware WastedLocker
BleepingComputer tải về thành công ransomware WastedLocker

Tin vui là Microsoft Defender có thể phát hiện ra các tập tin chứa mã độc được tải về qua MpCmdRun.exe. Hơn nữa, để thực hiện phương thức tấn công này, tin tặc phải chiếm được quyền điều khiển thiết bị của nạn nhân. 

Hiện vẫn chưa rõ phương thức tải tập tin qua MpCmdRun.exe có thể giúp mã độc vượt qua sự kiểm soát của các phần mềm diệt virus khác hay không.

Mohammad Askar đã thông báo vấn đề của Microsoft Defender cho phía Microsoft. Hy vọng rằng Microsoft sẽ sớm đưa ra giải pháp khắc phục. Trước Microsoft Defender, một loạt chương trình Windows đã bị tin tặc lợi dụng để tấn công chính Windows.