Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).
После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).
Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.
Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.
Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.
Функция загрузки файлов удалена
17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.
На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.
Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:
CmdTool: Недопустимый аргумент командной строки
Команда -DownloadFile удалена из экрана справки утилиты.
Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.
Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.
Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.
Последние статьи #Windows
• Microsoft добавила адаптивный режим энергосбережения в Windows 11
• Обновление KB5062554 нарушает работу панели эмодзи в Windows 10
• Как установить Windows 11, версия 25H2 уже сейчас
• Обновление KB5062651 (Build 26120.4733) для Windows 11, версия 24H2 (Beta)
• Обновление KB5062653 (Build 26200.5702) для Windows 11, версия 25H2 (Dev)
• Обновление KB5064489 (Build 26100.4656) для Windows 11, версия 24H2. Устранение проблемы запуска виртуальных машин Azure