Uma atualização recente para o antivírus Microsoft Defender (ex-Windows Defender) do Windows 10 introduziu uma novidade bem específica: ele agora pode fazer o download de arquivos usando sua ferramenta da linha de comando MpCmdRun.exe. O recurso em si não é malicioso, mas o problema é que ele também pode ser explorado para fazer com que o antivírus baixe malwares para o computador do usuário.

Descoberto pelo pesquisador de segurança Mohammad Askar, a atualização recente para a ferramenta de linha de comando do antivírus Microsoft Defender introduziu o novo argumento “-DownloadFile”. Este argumento permite que um usuário local no Windows 10 utilize a ferramenta MpCmdRun.exe para baixar um arquivo a partir de um local remoto usando um comando que segue o modelo abaixo:

Reprodução/BleepingComputer

Testes mostraram que este recurso foi adicionado ao Microsoft Defender na versão 4.18.2007.9 ou 4.18.2009.9 do antivírus do Windows 10:

Reprodução/BleepingComputer

Como é possível ver no teste abaixo feito pelo site BleepingComputer, a ferramenta foi capaz de baixar o arquivo "resources.exe", uma amostra do ransomware WastedLocker usado recentemente em um ataque contra a Garmin:

Reprodução/BleepingComputer

A boa notícia é que o Microsoft Defender detectará quaisquer arquivos maliciosos baixados usando a ferramenta MpCmdRun.exe. Outro detalhe é que é necessário que o usuário esteja logado localmente para executar o comando. Com essa descoberta, administradores e pesquisadores de segurança agora tem mais um executável do Windows que precisa ser monitorado para que não seja explorado por atacantes.

Vale lembrar que problemas introduzidos por atualizações do Microsoft Defender não são uma novidade para os usuários. Em março, por exemplo, uma atualização para o antivírus da Microsoft fez com que ele passasse a exibir uma mensagem indicando que arquivos não foram verificados por ele.

Já em abril outra atualização fez com que o antivírus passasse a apresentar erros quando o usuário optava por executar uma verificação completa do computador. Neste caso, a solução de segurança do Windows 10 ficava “presa” em um ponto específico da verificação e isso fazia o serviço principal do antivírus ser encerrado inesperadamente. Se o usuário acessasse o Visualizador de Eventos do Windows, ele veria que o serviço foi encerrado com um erro genérico "General access denied error".

Microsoft Defender (ex-Windows Defender) no Windows 10
(Reprodução/Fabio Rosolen)