Trong bản cập cho phần mềm diệt virus Windows Defender gần đây, Microsoft đã thêm tính năng tải bất kỳ loại file thông qua một công cụ điều khiển bằng dòng lệnh, bao gồm các file độc hại như trojan, spyware, ransomware và các loại malware khác.
Có lẽ mục đích ban đầu của tính năng này không phải là để tải virus nhưng trên thực tế vẫn có khả năng bị lợi dụng để tải virus về máy anh em. May mắn là thủ thuật này khá là khó làm, người dùng phổ thông thường sẽ không đụng đến, chỉ có những thanh niên chuyên gia “vọc” máy tính thì mới dùng thôi. Và người phát hiện ra tính năng mới này là Mohammad Askar, anh tự giới thiệu mình là một tester chuyên kiểm tra các hệ thống bảo mật và đã đăng hàng trăm bài hướng dẫn về an ninh mạng.
Trong bài đăng về “tính năng” mới của Windows Defender, anh này nói rằng có thể tải công cụ Cobalt Strike (có thể dùng để tạo backdoor) chỉ bằng một dòng lệnh “MpCmdRun.exe”.
Có vẻ như tính năng mới được thêm vào Windows Defender phiên bản 4.18.2007.8 hồi tháng 7 và đã tồn tại được hai tháng nay. Trang Bleeping Computer cũng đã thử dùng tính năng này để tải về nhiều thứ độc hại khác, trong đó có ransomware WastedLocker khiến hãng đồng hồ Garmin phải trả hàng triệu USD tiền chuộc dữ liệu bị khóa.
Về lý thuyết thì Windows Defender phải quét tất cả các file được tải xuống dù file đó được tải bằng bất kỳ cách nào. Không hiểu vì lý do gì mà Microsoft lại mắc phải một thiếu sót quan trọng và nguy hiểm đến như vậy. Nếu kẻ xấu muốn thì họ có thể tìm cách tải phần mềm độc hại thông qua Windows Defender và dễ dàng điều khiển, xâm nhập vào máy của chúng ta.
Nguồn: PC Gamer
