Chuyện trớ trêu: trình diệt virus của Windows 10 có thể bị lợi dụng để tải về… malware
Microsoft Defender có thể được sử dụng như một nhị phân LOLBin gây nguy hiểm cho Windows.
Một bản cập nhật gần đây dành cho Microsoft Defender đã vô tình biến phần mềm diệt virus của Windows 10 thành một “con thuyền” chở các tập tin độc hại từ internet về máy tính người dùng.
Theo một chuyên gia thử nghiệm chống xâm nhập tên Mohammad Askar, những thay đổi được thực hiện trong công cụ dòng lệnh của Microsoft Defender có thể cho phép các hacker sử dụng phần mềm này như một nhị phân LOLBin.
Nhiều nhị phân LOLBin hiện đang tồn tại trong Windows 10, tất cả đều có một chức năng cụ thể. Tuy nhiên, nếu có quyền ưu tiên phù hợp, hacker có thể lợi dụng những nhị phân này để qua mặt các giao thức bảo mật và tiến hành các cuộc tấn công mà nạn nhân không hề hay biết.
Theo Askar, công cụ dòng lệnh của Microsoft Defender nay hỗ trợ một chức năng mới là “ -DownloadFile“. Thay đổi này được cho là đã có hiệu lực từ Microsoft Defender phiên bản 4.18.2007.9 hoặc 4.18.2009.9.
Kết quả là, một kẻ tấn công trên mạng cục bộ có thể sử dụng Microsoft Antimalware Service Command Line Utility để tải về một tập tin từ internet với câu lệnh sau: “ MpCmdRun.exe – DownloadFile -url -path “.
Video đang HOT
Sử dụng kỹ thuật này, Askar đã có thể tải về malware Cobalt Strike từ một máy chủ ở xa thông qua Microsoft Defender.
Dù Defender sẽ phát hiện và loại trừ bất kỳ tập tin độc hại nào được tải về bằng phương thức này, vẫn chưa rõ liệu các dịch vụ antivirus phổ biến khác có thể phòng ngự trước loại hình tấn công này trong trường hợp các dịch vụ bảo vệ mặc định của hệ thống đã bị tắt đi hay không.
Các quản trị viên hệ thống hiện đã được khuyến cáo cập nhật ngay danh sách theo dõi của họ với LOLBin mới nói trên nhằm đảm bảo nó sẽ không thể được sử dụng để tạo nên một cuộc tấn công.
Windows Defender có đủ thay thế phần mềm diệt virus trên Windows 10?
Sau khi nâng cấp Windows 10, nhiều người dùng chuyển sang sử dụng Windows Defender - công cụ được Microsoft thiết kế riêng để bảo vệ máy tính chạy phiên bản hệ điều hành này.
Ngày nay, các cuộc tấn công mạng bằng virus, đánh cắp thông tin, mã độc tống tiền, phần mềm gián điệp đã trở nên phổ biến. Tuy nhiên, nhiều người dùng Windows 10 thay vì sử dụng các phần mềm diệt virus của bên thứ ba thì lại sử dụng công cụ Windows Defender - chương trình chống phần mềm độc hại được tích hợp ngay trong hệ điều hành. Vậy, liệu Windows Defender có thật sự an toàn hay không? Có đảm bảo đầy đủ các tiêu chí Antivirus hay không?
Một vài năm trước, người dùng rất thất vọng khi Windows Defender quá "vô dụng". Về cơ bản, nếu chỉ sử dụng duy nhất phần mềm bảo vệ này thì máy tính chắc chắn vẫn sẽ bị nhiễm virus. Nhưng gần đây, Windows đã nâng cấp Defender trở thành một phần mềm diệt virus miễn phí khá tốt. Hiện tại, Defender đã trở thành một ứng dụng mạnh mẽ, thực sự có thể bảo vệ máy tính hay laptop của bạn và đạt được thứ hạng ấn tượng trong các báo cáo từ các phòng thí nghiệm độc lập.
Trong phiên bản hệ điều hành Windows 10 Creators, Windows Defender đã được nâng cấp thành Windows Defender Security Center, người dùng hoàn toàn có thể kích hoạt công cụ Windows Defender Offline trên giao diện này. Đặc biệt, người dùng còn có thể sử dụng công cụ này để bảo vệ máy tính trước sự tấn công của WannaCry.
Một trong những thế mạnh lớn nhất của Windows Defender trên Win10 so với tất cả các phần mềm diệt virus khác là việc nó không hề tốn nhiều tài nguyên máy tính. Đây là điều mà nhiều người không thích với đối với phần mềm của bên thứ 3. Ngoài ra chương trình sẽ không làm phiền người dùng máy tính bởi các thông báo, pop-ups...Nó cũng không thu thập dữ liệu người dùng như một số phần mềm khác. Đặc biệt, đối với Windows Defender, người dùng không cần phải mua hay đợi bên thứ ba xác nhận mà thay vào đó, ngay từ lúc cài đặt Windows 10 và mở máy thì chương trình đã được kích hoạt.
Bạn đã từng gặp phải vấn đề không truy cập được trang web, không cài được phần mềm hay bị xóa nhầm file dù chúng đều được xác nhận an toàn? Đây là vấn đề phát sinh khi phần mềm diệt virus nhận diện sai. Nếu muốn giảm tỉ lệ nhận diện sai trên Windows Defender, người dùng có thể tắt một số yêu cầu bảo mật trong phần thiết lập. Tuy nhiên, hành động này có thể gây nguy hiểm cho hệ thống máy tính, hãy thận trọng và hạn chế sử dụng.
Vậy, liệu Windows Defender đã đủ để bảo vệ máy tính chưa? Có nên cài thêm phần mềm diệt virus khác thay cho Windows Defender?
Windows Defender cung cấp mạng lưới bảo vệ an ninh mạng tốt, nhưng chưa đến ngưỡng như các phần mềm diệt virus cao cấp. Nếu người dùng chỉ tìm kiếm khả năng bảo mật an ninh mạng cơ bản, thì Windows Defender là một sự lựa chọn hợp lí. Nhưng nếu người dùng có nhiều thông tin nhạy cảm trên thiết bị có thể thu hút tin tặc - thông tin ngân hàng, thông tin đăng nhập, tệp riêng tư - thì không, nó chưa "đủ".
Vì vậy, dù việc sử dụng Windows Defender như một phần mềm chống virus độc lập là hoàn toàn hợp lí, nhưng chúng tôi vẫn khuyên bạn nên bảo vệ máy tính của bạn bằng phần mềm diệt virus cao cấp. Bởi lẽ, không có phần mềm diệt virus miễn phí nào cung cấp cho bạn khả năng bảo vệ máy tính toàn diện 100%, và Windows Defender cũng thế. Vì thế, hãy đầu tư vài USD một tháng vào khoản phí sử dụng chương trình diệt virus tốt nhất để bảo vệ và đảm bảo an ninh mạng cho chính bạn.
Dưới đây là một số phần mềm diệt virus tốt nhất dành cho hệ điều hành Windows 10:
Bitdefender Antivirus Plus: $24.99/năm
Norton AntiVirus Basic: $14.99/năm
Kaspersky Anti-Virus: $29.99/năm
Webroot AntiVirus: $19.99/năm
Microsoft Defender cảnh báo các chỉnh sửa trong tệp hosts là mối đe dọa nghiêm trọng Trên Windows 10, chương trình chống virus Microsoft Defender sẽ phát hiện và cảnh báo tệp hosts là mối đe dọa nếu tệp này chứa các đường dẫn chặn một số dịch vụ của công ty. Tệp hosts là tệp văn bản không có đuôi mở rộng và chứa địa chỉ IP đến máy chủ hoặc tên miền. Tệp đã tồn tại từ...