La capacità di Windows Defender di scaricare il file è stata ora rimossa
La funzionalità per scaricare file utilizzando Windows Defender è stata eliminata di recente vedendo la vulnerabilità che gli aggressori potrebbero utilizzare per scaricare malware nel computer.
La scorsa settimana, Microsoft ha aggiunto questa capacità a Windows Defender per motivi sconosciuti. La preoccupazione è stata sollevata dalla comunità della sicurezza informatica che pensava che Microsoft avrebbe consentito a Defender di essere abusato dagli aggressori come un LOLBIN.
I file binari LOLBI o living-of-land sono file di sistema legittimi che potrebbero essere utilizzati per scopi dannosi. Il gruppo TA505 APT, gli attacchi ransomware e altri attacchi di malware sono attacchi importanti in passato che utilizzano i binari di Windows e, quindi, l’attacco non è teorico.
Gli utenti possono semplicemente scaricare un file eseguendo l’utilità della riga di comando del servizio antimalware Microsoft (MyCmdRun.exe) con l’argomento – DownloadFIle, come mostrato di seguito:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
In questo modo, gli utenti possono scaricare qualsiasi file, incluso il ransomware. Il Windows Defender attivato rileverà rapidamente questo malware, ma altri software di sicurezza che potrebbero ignorare i rilevamenti da parte dei programmi Windows potrebbero non rilevare questo download.
Chiedendo a Microsoft perché è stata aggiunta questa funzione, otteniamo la risposta: “Microsoft non ha altro da condividere”.
La versione 4.18.2009.2-0 del client Windows Defender Antimalware è stata rilasciata ieri con notevoli modifiche nella funzionalità MpCmdRun.exe. Questa volta, la società ha rimosso la possibilità di scaricare file tramite l’utilità della riga di comando MpCmdRun.exe. L’errore “CmdTool: argomento della riga di comando non valido” verrà visualizzato sullo schermo ora quando gli utenti tentano di scaricare un file utilizzando MyCmdRun.exe.
La rimozione di questa funzionalità è un buon passo, non è necessario fornire una piattaforma agli autori delle minacce per distribuire il proprio malware e compromettere i nostri sistemi.