Microsoft удалила функцию загрузки файлов в антивирусе Windows 10 из-за рисков безопасности

2020-09-18 3822 комментарии
Microsoft удалила возможность скачивания файлов с помощью Защитника Windows после демонстрации того, как данная функциональность может использоваться злоумышленниками для доставки вредоносного ПО на компьютер

Две недели назад мы сообщали, как Microsoft по неясным причинам скрытно добавила возможность для загрузки файлов с помощью Защитника Windows (Microsoft Defender).

После этого сообщество исследователей кибербезопасности выразило обеспокоенность тем, что Microsoft теперь позволяет использовать антивирус Windows 10 в качестве LOLBIN (легитимных файлов ОС, которые могут использоваться в злонамеренных целях).

Для загрузки файлов пользователи могут использовать утилиту командной строки антивирусной службы (MpCmdRun.exe) с аргументом -DownloadFile, например:

MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]

В тестах BleepingComputer специалистам удалось загрузить в системы любые файлы, в том числе программу-вымогатель.

Microsoft Defender

Если Защитник Windows активен, он быстро обнаружит угрозу, но другое антивирусное ПО может проигнорировать загрузку.

Microsoft отказалась делиться информацией о причинах добавления функциональности после официального запроса от BleepingComputer.

Функция загрузки файлов удалена

17 сентября Microsoft обновила клиент антивредоносной программы до версии 4.18.2009.2-0 и снова изменила функциональность утилиты MpCmdRun.exe.

На этот раз компания удалила возможность загрузки файлов с помощью инструмента командной строки MpCmdRun.exe.

Пользователи, которые попытаются загрузить файл с помощью MpCmdRun.exe получат ошибку:

CmdTool: Недопустимый аргумент командной строки

Microsoft Defender

Команда -DownloadFile удалена из экрана справки утилиты.

Киберпреступники будут использовать все доступные им инструменты в своих интересах, особенно те, которые могут быть разрешены автоматически, например двоичные файлы Windows.

Атаки с использованием LOLBIN вполне реальны. Например, LOLBIN применялись группой TA505 для проведения атак с использованием программ-вымогателей и других типов вредоносного ПО.

Удаление опции загрузки из Защитника Windows является хорошей новостью, поскольку злоумышленники лишились дополнительной возможности для компрометации пользовательских систем.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?