Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).
После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).
Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.
Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.
Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.
Функция загрузки файлов удалена
17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.
На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.
Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:
CmdTool: Недопустимый аргумент командной строки
Команда -DownloadFile удалена из экрана справки утилиты.
Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.
Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.
Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.
Последние статьи #Windows
• Microsoft обновит окно «Выполнить» в Windows 11 — появился современный интерфейс Modern Run
• Microsoft продолжает перенос настроек из Панели управления в «Параметры» в новых сборках Windows 11
• Microsoft: в Windows 11, версия 25H2 нарушена работа ключевых элементов интерфейса
• Windhawk — мощный инструмент для модификации и тонкой настройки Windows
• Microsoft подтвердила, что обновление Windows 11 вызывает «белые вспышки» при открытии Проводника в тёмной теме
• Обновленный Проводник Windows 11 с предзагрузкой работает медленнее, чем в Windows 10, и потребляет больше памяти