Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).
После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).
Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.
Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.
Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.
Функция загрузки файлов удалена
17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.
На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.
Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:
CmdTool: Недопустимый аргумент командной строки
Команда -DownloadFile удалена из экрана справки утилиты.
Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.
Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.
Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.
Последние статьи #Windows
• Windows 11 Build 27891 (Canary): Что нового, готовые ISO-образы
• Windows 11 достигает рекордной популярности среди геймеров
• KB5060829 вызывает ложные ошибки брандмауэра в Windows 11, версия 24H2 — Microsoft работает над исправлением
• Microsoft устранила проблему с функцией «Печать в PDF» в Windows 11, версия 24H2
• Microsoft PowerToys 0.92: улучшение производительности, тест скорости и исправление проблем с браузером в Windows 11, версия 24H2
• Windows 11 резко увеличила долю рынка и догнала Windows 10