Die Windows Defender-Funktion zum Herunterladen von Dateien wurde jetzt entfernt
Die Funktion zum Herunterladen von Dateien mit Windows Defender wurde kürzlich gelöscht, da die Sicherheitsanfälligkeit erkannt wurde, mit der Angreifer Malware auf den Computer herunterladen können.
Letzte Woche hat Microsoft diese Funktion aus unbekannten Gründen zum Windows Defender hinzugefügt. Die Besorgnis kam von der Cybersecurity-Community, die glaubte, Microsoft würde es Defender erlauben, von Angreifern als LOLBIN missbraucht zu werden.
LOLBI oder Living-of-Land-Binärdateien sind legitime Systemdateien, die für böswillige Zwecke missbraucht werden können. TA505 APT-Gruppe, Ransomware-Angriffe und andere Malware-Angriffe sind in der Vergangenheit wichtige Angriffe unter Verwendung der Windows-Binärdateien. Daher ist der Angriff nicht theoretisch.
Benutzer können einfach eine Datei herunterladen, indem sie das Microsoft Antimalware Service-Befehlszeilenprogramm (MyCmdRun.exe) mit dem Argument – DownloadFIle ausführen, wie unten gezeigt:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Auf diese Weise können Benutzer beliebige Dateien herunterladen, einschließlich Ransomware. Der aktivierte Windows Defender erkennt diese Malware schnell, aber andere Sicherheitssoftware, mit der Windows möglicherweise Erkennungen umgeht, erkennt diesen Download möglicherweise nicht.
Wenn wir Microsoft fragen, warum diese Funktion hinzugefügt wurde, erhalten wir die Antwort: “Microsoft hat nichts weiter zu teilen.”
Windows Defender Antimalware Client Version 4.18.2009.2-0 wurde gestern mit bemerkenswerten Änderungen in der Funktion MpCmdRun.exe veröffentlicht. Dieses Mal hat das Unternehmen die Möglichkeit zum Herunterladen von Dateien über das Befehlszeilenprogramm MpCmdRun.exe entfernt. Der Fehler “CmdTool: Ungültiges Befehlszeilenargument” wird jetzt auf dem Bildschirm angezeigt, wenn Benutzer versuchen, eine Datei mit MyCmdRun.exe herunterzuladen.
Das Entfernen dieser Funktion ist ein guter Schritt. Es ist nicht erforderlich, Bedrohungsakteuren eine Plattform zur Verfügung zu stellen, um ihre Malware zu verbreiten und unsere Systeme zu gefährden.