A Microsoft diz que o recurso de download de arquivos do Defender não é um risco

A Microsoft atualizou recentemente seu antivírus Defender, adicionando a capacidade de baixe silenciosamente qualquer arquivo da Internet. Alguns usuários estão preocupados que esse novo recurso possa ser explorado por malware e aplicativos potencialmente indesejados. A Microsoft respondeu oficialmente que a empresa não considera essa alteração no aplicativo uma vulnerabilidade.

O utilitário MpCmdRun.exe do console faz parte do Microsoft Defender. É usado principalmente para tarefas de verificação agendadas por administradores de TI. A ferramenta MpCmdRun.exe tem várias opções de linha de comando que podem ser visualizadas executando MpCmdRun.exe com "/?".

A versão mais recente do MpCmdRun.exe ferramenta suporta a seguinte sintaxe

MpCmdRun.exe -DownloadFile -url [url para um arquivo remoto] -path [caminho local para salvar o arquivo]

O arquivo remoto será baixado silenciosamente para o local que você especificou.

Muitos pesquisadores de segurança acham que esse novo recurso é arriscado e adiciona um vetor de ataque extra ao Windows 10. O falante da Microsoft revelou a Forbes a posição da empresa em relação à situação:

Apesar desses relatórios, o antivírus Microsoft Defender e o Microsoft Defender ATP ainda protegerão os clientes contra malware. Esses programas detectam arquivos maliciosos baixados para o sistema por meio do recurso de download de arquivos antivírus.

Apesar dessa afirmação, alguns usuários apontam que não é possível desabilitar esse recurso no Microsoft Defender, deixando o sistema vulnerável a aplicativos que possam abusar secretamente da opção de download.