ABD merkezli teknoloji devi Microsoft’un Windows 10 için sunduğu antivirüs programı Microsoft Defender’ın son sürümünde kritik olduğu kadar anlamsız bir sorun tespit edildi. Bu sorun, Microsoft Defender’ın kötü amaçlı yazılımları bile indirebilecek şekilde yeniden yapılandırılmasını içeriyordu. Neyse ki Microsoft Defender, bu yazılım indirilebiliyor olsa da indirilen kötü amaçlı yazılımı anında tespit ediyor.
Mohammad Askar isimli bir siber güvenlik uzmanı tarafından yapılan çalışmalarda, Microsoft Defender’ın son sürümünde kullanılabilen “MpCmdRun.exe” isimli komut satırı aracının kötü amaçlı yazılımları indirebildiği keşfedildi. Bu keşif, Microsoft Defender’ı bilgisayar korsanlarının kötüye kullanabilecekleri Windows uygulamalar listesine eklenmesine yol açtı.
Askar’ın keşfi üzerine Microsoft Defender’la ilgili araştırma yapan BleepingComputer, söz konusu özelliğin uygulamaya 4.18.2007.9 veya 4.18.2009.9 kodlu sürümlerde eklenmiş olduğunu tespit ettiler. Peki Microsoft Defender, nasıl oluyor da kötü amaçlı yazılımların indirilmesine çanak tutabiliyor? Dilerseniz hemen olayın nasıl gerçekleştiğine yakından bakalım.
Mohammad Askar tarafından yapılan keşfe göre Microsoft Defender’la birlikte kullanılabilen, MpCmdRun.exe isimli komut satırı aracına “-DownloadFile” şeklinde bir komut satırı argümanı eklenmiş durumda. Bir kullanıcı ya da bilgisayar korsanı, komut satırı aracında “-DownloadFile -url [url] -path [path_to_save_file]” şeklinde bir komut çalıştırdığında ise kötü amaçlı yazılımlar bilgisayara indiriliyor.
BleepingComputer, Microsoft Defender’ı kullanarak kötü amaçlı yazılım indirmeyi başardı
BleepingComputer, Microsoft Defender üzerinde yaptığı çalışmalarda giyilebilir teknoloji üreticisi Garmin’e yapılan siber saldırıya neden olan “resource.exe” isimli kötü amaçlı yazılımı indirmeyi başardı. Ancak indirme işlemi sona erdiği anda Microsoft Defender yeni bir uyarı vererek indirilen uygulamanın kötü amaçlı olduğunu algıladı ve gerekli işlemleri yaparak kullanıcının güvenliğini sağladı.
Microsoft’un, kendi antivirüs yazılımına neden böyle bir şey yaptığı bilinmiyor. Microsoft, şu ana dek bu konuyla ilgili bir açıklama yapmadı. Ancak buradaki asıl sorun, Microsoft Defender’dan farklı bir antivirüs programı kullanan tüketicilerin durumu. Şöyle ki bir bilgisayar korsanı eğer hedeflediği bilgisayara sızar ve Microsoft Defender aracılığıyla kötü amaçlı yazılımı indirirse, Microsoft Defender haricindeki antivirüs yazılımlarının buna nasıl bir tepki göstereceği belirsiz. Microsoft’un konuyla ilgili bir açıklama yapması bekleniyor.