Función de Windows Defender permite descargar archivos

Windows Defender es el antivirus integrado de Windows 10, y por lo general da muy buenos resultados en lo que a mantener el sistema seguro respecta. Algo bueno es que puede usarse desde la consola para ejecutarse como una herramienta de línea de comandos, lo que aporta cierta flexibilidad a quien quiera utilizarlo de esa forma.

Sin embargo, irónicamente, Mohammad Askar, un desarrollador e investigador de seguridad, ha descubierto que usándolo desde 'Símbolo del sistema', Windows Defender cuenta con una función de descargar todo tipo de archivos, desde una foto hasta ejecutables con malware.

You can use C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2008.9-0\MpCmdRun.exe -url <url> -path <local-path> to download your file using Windows defender itself.

— Askar (@mohammadaskar2) September 2, 2020

DownloadFile, un comando que convierte a Defender en una herramienta para descargar

Según afirman haber descubierto BleepingComputer, la función de descargar archivos con Windows Defender es reciente, y se habría añadido al sistema en las versiones 4.18.2007.9 ó 4.18.2009.9. En dicha web, como en el caso de Askar, el investigador que ha descubierto la función, han podido descargar malware.

El comando que permite la descarga de archivos es "-DownloadFile", y la propia Microsoft lo explica así en la lista de comandos compatibles con Defender: "Descarga un archivo de la URL dada al directorio dado en la ruta. La ruta también debe tener el nombre del archivo".

cd "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2008.9-0\"
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file -path %Userprofile%\Imagendeprueba.jpg

Por ejemplo:

MpCmdRun.exe -DownloadFile -url https://www.segu-info.com.ar/images/logo-seguinfo-144x144.png -path d:\temp\SeguInfo.png

De esta forma, el sistema descarga el archivo ubicado en la URL que le indiquemos en nuestro directorio de usuario, guardando con el nombre que le demos. Si no indicamos el nombre de destino, el proceso da error.

Además de estos archivos, Windows Defender puede descargar, como decíamos, ejecutables con malware. Se descargan y luego son detectados. El problema sería que otros antivirus no detectasen los archivos descargados por esta vía. Que sea posible es en sí muy irónico, y Microsoft hasta ahora no ha hablado públicamente de la función.  La buena noticia es que Microsoft Defender detectará archivos maliciosos descargados con MpCmdRun.exe, pero se desconoce si otro software antivirus permitirá que este programa eluda sus detecciones.

Fuente: Genbeta | BC

Suscríbete a nuestro Boletín