O Microsoft Defender pode ser usado para baixar malware

Em uma atualização recente do Microsoft Defender, a ferramenta de linha de comando MpCmdRun.exe foi atualizada para baixar arquivos maliciosos de um local remoto.

Com esse novo recurso, o Microsoft Defender agora faz parte da longa lista de programas do Windows que podem ser abusados ​​por invasores locais.

O Microsoft Defender pode ser usado como um LOLBIN

Descoberto pelo pesquisador de segurança  Mohammad Askar , uma atualização recente da ferramenta de linha de comando do Microsoft Defender agora inclui um novo -DownloadFileargumento de linha de comando.

Esta diretiva permite que um usuário local use o utilitário de linha de comando do serviço Microsoft Antimalware (MpCmdRun.exe) para baixar um arquivo de um local remoto usando o seguinte comando:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Em testes conduzidos por BleepingComputer.com, esse recurso foi adicionado ao Microsoft Defender na versão 4.18.2007.9 ou 4.18.2009.9.

Como você pode ver abaixo, o BleepingComputer conseguiu baixar o   arquivo resources.exe , a amostra WastedLocker Ransomware usada em um   ataque recente da Garmin .

A boa notícia é que o Microsoft Defender detectará arquivos maliciosos baixados com MpCmdRun.exe, mas não se sabe se outro software antivírus permitirá que este programa ignore suas detecções.

Com essa descoberta, os administradores e equipes azuis agora têm um executável adicional do Windows que precisam monitorar para que não seja usado contra eles.

Fonte: https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware