La capacidad de Windows Defender para descargar archivos se elimina ahora
La función para descargar archivos usando Windows Defender se eliminó recientemente al ver la vulnerabilidad que los atacantes podrían usar para descargar malware en la computadora.
La semana pasada, Microsoft agregó esta capacidad a Windows Defender por razones desconocidas. La preocupación surgió de la comunidad de ciberseguridad que pensó que Microsoft permitiría que los atacantes abusen de Defender como un LOLBIN.
Los binarios LOLBI o living-of-land-son archivos legítimos del sistema que podrían ser objeto de abuso con fines maliciosos. El grupo TA505 APT, los ataques de ransomware y otros ataques de malware son ataques importantes en el pasado utilizando los binarios de Windows y, por lo tanto, el ataque no es teórico.
Los usuarios pueden simplemente descargar un archivo ejecutando la utilidad de línea de comandos del servicio Microsoft Antimalware (MyCmdRun.exe) con el argumento – DownloadFIle, como se muestra a continuación:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
De esta forma, los usuarios pueden descargar cualquier archivo, incluido el ransomware. El Windows Defender activado detectaría rápidamente este malware, pero es posible que otro software de seguridad que puede que los programas de Windows eludan las detecciones no detecten esta descarga.
Al preguntarle a Microsoft por qué se agregó esta función, obtenemos la respuesta: “Microsoft no tiene nada más que compartir”.
La versión 4.18.2009.2-0 de Windows Defender Antimalware Client se lanzó ayer con cambios notables en la función MpCmdRun.exe. Esta vez, la compañía eliminó la capacidad de descargar archivos a través de la utilidad de línea de comandos MpCmdRun.exe. El error “CmdTool: argumento de línea de comando no válido” se mostrará en la pantalla ahora cuando los usuarios intenten descargar un archivo usando MyCmdRun.exe.
Eliminar esta función es un buen paso; no es necesario brindar una plataforma a los actores de amenazas para distribuir su malware y comprometer nuestros sistemas.