La capacité de Windows Defender à télécharger le fichier est maintenant supprimée
La fonctionnalité de téléchargement de fichiers à l’aide de Windows Defender a été supprimée récemment en voyant la vulnérabilité que les attaquants pourraient utiliser pour télécharger des logiciels malveillants sur l’ordinateur.
La semaine dernière, Microsoft a ajouté cette capacité à Windows Defender pour une raison inconnue. L’inquiétude a été soulevée par la communauté de la cybersécurité qui pensait que Microsoft permettrait à Defender d’être abusé par des attaquants en tant que LOLBIN.
LOLBI ou living-of-land-binaries sont des fichiers système légitimes qui pourraient être utilisés à des fins malveillantes. Le groupe TA505 APT, les attaques de ransomwares et autres attaques de logiciels malveillants sont des attaques majeures dans le passé utilisant les binaires Windows et, par conséquent, l’attaque n’est pas théorique.
Les utilisateurs peuvent simplement télécharger un fichier en exécutant l’utilitaire de ligne de commande Microsoft Antimalware Service (MyCmdRun.exe) avec l’argument – DownloadFIle, comme indiqué ci-dessous:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
De cette façon, les utilisateurs peuvent télécharger tous les fichiers, y compris les ransomwares. Le Windows Defender activé détecte rapidement ce malware, mais d’autres logiciels de sécurité susceptibles de contourner les détections par les programmes Windows peuvent ne pas détecter ce téléchargement.
En demandant à Microsoft pourquoi cette fonctionnalité a été ajoutée, nous obtenons la réponse: «Microsoft n’a plus rien à partager».
La version 4.18.2009.2-0 de Windows Defender Antimalware Client a été publiée hier avec des changements notables dans la fonctionnalité MpCmdRun.exe. Cette fois, la société a supprimé la possibilité de télécharger des fichiers via l’utilitaire de ligne de commande MpCmdRun.exe. L’erreur «CmdTool: Argument de ligne de commande non valide» s’affiche maintenant à l’écran lorsque les utilisateurs tentent de télécharger un fichier à l’aide de MyCmdRun.exe.
La suppression de cette fonctionnalité est une bonne étape, il n’est pas nécessaire de donner une plate-forme aux acteurs menaçants pour distribuer leurs malwares et compromettre nos systèmes.