A capacidade do Windows Defender de baixar o arquivo foi removida agora
O recurso para baixar arquivos usando o Windows Defender foi excluído recentemente ao ver a vulnerabilidade que os invasores podem usar para baixar malware no computador.
Na semana passada, a Microsoft adicionou essa capacidade ao Windows Defender por motivo desconhecido. A preocupação foi levantada pela comunidade de segurança cibernética, que pensava que a Microsoft permitiria que o Defender fosse abusado por invasores como um LOLBIN.
LOLBI ou binários living-of-land-são arquivos de sistema legítimos que podem ser usados para fins maliciosos. O grupo TA505 APT, ataques de ransomware e outros ataques de malware são ataques importantes no passado usando os binários do Windows e, portanto, o ataque não é teórico.
Os usuários podem simplesmente baixar um arquivo executando o utilitário de linha de comando do serviço Microsoft Antimalware (MyCmdRun.exe) com o argumento – DownloadFIle, conforme mostrado abaixo:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
Dessa forma, os usuários podem baixar qualquer arquivo, incluindo ransomware. O Ativado Windows Defender detectaria rapidamente esse malware, mas outro software de segurança que os programas do Windows para contornar as detecções podem não detectar esse download.
Ao perguntar à Microsoft por que esse recurso foi adicionado, obtemos a resposta: “A Microsoft não tem mais nada para compartilhar.”
O Windows Defender Antimalware Client versão 4.18.2009.2-0 foi lançado ontem com mudanças notáveis no recurso MpCmdRun.exe. Desta vez, a empresa removeu a capacidade de baixar arquivos por meio do utilitário de linha de comando MpCmdRun.exe. O erro “CmdTool: argumento de linha de comando inválido” será mostrado na tela agora quando os usuários tentarem baixar um arquivo usando MyCmdRun.exe.
A remoção desse recurso é um bom passo – não há necessidade de fornecer uma plataforma para que os agentes de ameaças distribuam seu malware e comprometam nossos sistemas.
