Microsoft dice que la función de descarga de archivos de Defender no es un riesgo

Microsoft actualizó recientemente su antivirus Defender, agregando la capacidad de descargar silenciosamente cualquier archivo de Internet. A algunos usuarios les preocupa que esta nueva función pueda ser aprovechada por malware y aplicaciones potencialmente no deseadas. Microsoft ha respondido oficialmente que la compañía no considera que este cambio en la aplicación sea una vulnerabilidad.

La utilidad de consola MpCmdRun.exe es parte de Microsoft Defender. Se utiliza principalmente para tareas de escaneo programadas por administradores de TI. La herramienta MpCmdRun.exe tiene varios modificadores de línea de comandos que se pueden ver ejecutando MpCmdRun.exe con "/?".

La versión más reciente del MpCmdRun.exe La herramienta admite la siguiente sintaxis

MpCmdRun.exe -DownloadFile -url [url a un archivo remoto] -path [ruta local para guardar el archivo]

El archivo remoto se descargará silenciosamente en la ubicación que especificó.

Muchos investigadores de seguridad piensan que esta nueva característica es arriesgada y agrega un vector de ataque adicional a Windows 10. El interlocutor de Microsoft ha revelado a Forbes la posición de la empresa ante la situación:

A pesar de estos informes, el antivirus Microsoft Defender y el ATP de Microsoft Defender seguirán protegiendo a los clientes del malware. Estos programas detectan archivos maliciosos descargados en el sistema a través de la función de descarga de archivos antivirus.

A pesar de esta declaración, algunos usuarios señalan que no es posible deshabilitar esta función en Microsoft Defender, dejando el sistema vulnerable a las aplicaciones que pueden abusar secretamente de la opción de descarga.