Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).
После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).
Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.
Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.
Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.
Функция загрузки файлов удалена
17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.
На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.
Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:
CmdTool: Недопустимый аргумент командной строки
Команда -DownloadFile удалена из экрана справки утилиты.
Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.
Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.
Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.
Последние статьи #Windows
• Как установить Windows 11 на VirtualBox
• Некоторые нативные приложения Windows 11 требуют Интернет-подключение при первом запуске
• Обзор: Новая панель задач в Windows 11
• Microsoft исправила очередную проблему с печатью в Windows
• PowerToys доступен в Microsoft Store для Windows 11
• В Microsoft Store для Windows 11 появилось приложение Amazon Appstore для установки Android-приложений