ファイルをダウンロードするWindows Defender機能が削除されました

Windows Defenderを使用してファイルをダウンロードする機能は、攻撃者がマルウェアをコンピューターにダウンロードするために使用できる脆弱性が確認されたため、最近削除されました。

先週、Microsoftは未知の理由でこの機能をWindows Defenderに追加しました。この懸念は、マイクロソフトがディフェンダーをLOLBINとして攻撃者に悪用することをMicrosoftが許可すると考えていたサイバーセキュリティコミュニティから生じました。

LOLBIまたはLiving-of-land-binariesは、悪意のある目的で悪用される可能性のある正当なシステムファイルです。 TA505 APTグループ、ランサムウェア攻撃、およびその他のマルウェア攻撃は、これまでWindowsバイナリを使用した主要な攻撃であり、理論的な攻撃ではありません。

ユーザーは、次に示すように、-DownloadFIle引数を指定してMicrosoft Antimalware Serviceコマンドラインユーティリティ（MyCmdRun.exe）を実行することにより、ファイルをダウンロードするだけで済みます。

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

このようにして、ユーザーはランサムウェアを含むすべてのファイルをダウンロードできます。アクティブ化されたWindows Defenderはこのマルウェアをすばやく検出しますが、Windowsプログラムが検出をバイパスする可能性がある他のセキュリティソフトウェアは、このダウンロードを検出できない場合があります。

この機能が追加された理由をマイクロソフトに尋ねると、「マイクロソフトにはこれ以上共有するものは何もない」という答えが返ってきます。

 Windows Defender Antimalware Clientバージョン4.18.2009.2-0が昨日リリースされ、MpCmdRun.exe機能に大きな変更が加えられました。今回、同社はMpCmdRun.exeコマンドラインユーティリティを介してファイルをダウンロードする機能を削除しました。ユーザーがMyCmdRun.exeを使用してファイルをダウンロードしようとすると、「CmdTool：無効なコマンドライン引数」エラーが画面に表示されます。

この機能を削除することは、マルウェアを配布してシステムを危険にさらすためにプラットフォームを脅威の攻撃者に提供する必要がないので、良いステップです。