Microsoft Defender新功能被曝安全漏洞：可下载恶意程序

amplly

在不允许通过 Windows 注册表方式禁用之后，Microsoft Defender 再次成为了媒体关注的焦点。近日，微软为 Defender 新增了一项功能，不过安全专家表示黑客可以利用该功能下载恶意程序。

在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中，微软增加了通过命令行下载文件的功能。使用方式是

MpCmdRun.exe -DownloadFile -url -path [path_to_save_file]

虽然该功能本身并没有漏洞，但是该功能运行运行脚本，可以启动命令行从互联网导入更多的文件，使用本地原生的 living-off-the-land（LOLBIN）文件。将该功能添加到[url=https://microsoft.pvxt.net/x9Vg1]Windows Defender中，意味着又多了一个管理员必须关注的应用，也多了一个黑客可以利用的应用。

安全研究人员 Askar 称，这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说，黑客可以滥用这些二进制文件，从互联网上下载任何文件，包括恶意软件。

这也意味着，用户将能够使用 Microsoft  Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞，因为在你使用命令行工具完成下载后，Windows Defender仍然会对文件进行检查。