Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).
После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).
Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.
Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.
Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.
Функция загрузки файлов удалена
17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.
На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.
Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:
CmdTool: Недопустимый аргумент командной строки
Команда -DownloadFile удалена из экрана справки утилиты.
Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.
Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.
Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.
Последние статьи #Windows
• Microsoft продолжает перенос настроек из Панели управления в приложение «Параметры» в Windows 11
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook
• Обновление KB5055632 (Build 26200.5570) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055634 (Build 26120.3941) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055627 (Build 26100.3915) Preview для Windows 11, версия 24H2