粉絲團
(圖/Microsoft)
微軟 Windows作業系統內建的Microsoft Defender 防毒軟體服務,近日被國外一名資安研究人員 Mohammad Askar 於他個人推特發文表示,微軟Microsoft Defender防毒軟體於日前釋出的最新更新版本,提供可讓用戶透過使用命令列專用工具「MpCmdRun.exe」來執行各種Microsoft Defender 防病毒函式功能等防護設定,以讓裝置用戶從遠端下載任何檔案,防範遭惡意病毒入侵。
不過,由於「MpCmdRun.exe」這項命令列專用工具卻同時也允許於下載文件檔案DownloadFile 加入新的命令列參數:MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file],以執行下載文件檔案的安全掃描。使得該指令在存有錯誤漏洞的情況下,將讓駭客有機可趁,透過一些部份 Windows 合法下載程式如:msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe,利用上述這些「合法程式」的掩護管道,暗中於後台植入帶有惡意程式碼(如木馬程式)的手法發動惡意攻擊,導致用戶裝置內的資料恐遭不當竊取或中毒的安全疑慮。
國外一名資安研究人員 Mohammad Askar 發現近期釋出的防毒軟體增加一項的遠端下載工具功能,藏有安全漏洞,恐被駭客利用發動惡意程式攻擊。(圖翻攝Mohammad Askar 個人推特)
該研究人員指出,當Microsoft Defender 在執行惡意軟體掃描偵測時,可成功即時攔截這類具有病毒特徵的惡意程式碼,並阻擋下載指令執行,暫時不會對使用Microsoft Defender防毒的PC用戶造成影響 。需注意的是,這項隸屬於Microsoft Defender命令列專用工具,會自動攜帶微軟官方的簽名,倘若PC用戶電腦裝置所安裝的第三方防毒軟體沒有執行嚴格下載檢測或版本過舊,將仍有可能導致裝置在執行遠端文件檔案下載時遭惡意程式碼的植入。
