Η Microsoft κατάργησε τη δυνατότητα λήψης αρχείων χρησιμοποιώντας το Windows Defender αφού αποδείχθηκε πώς θα μπορούσε να χρησιμοποιηθεί από εισβολείς για τη λήψη κακόβουλου λογισμικού.
Την περασμένη εβδομάδα, αναφέραμε ότι η Microsoft πρόσθεσε τη δυνατότητα λήψης αρχείων χρησιμοποιώντας το Windows Defender για άγνωστο λόγο και χωρίς να ενημερώσει.
Όταν ανακαλύφθηκε αυτό, η κοινότητα της ασφάλειας στον κυβερνοχώρο ανησύχησε ότι η Microsoft θα επέτρεπε στον Defender να χρησιμοποιηθεί από τους επιτιθέμενους ως LOLBIN.
Τα LOLBINs, είναι νόμιμα αρχεία λειτουργικού συστήματος τα οποία μπορούν να χρησιμοποιήσουν οι χάκερ για κακόβουλους σκοπούς.
Για την λήψη ενός αρχείου, οι χρήστες θα μπορούσαν να εκτελέσουν το βοηθητικό πρόγραμμα γραμμής εντολών της υπηρεσίας Antimalware Microsoft (MpCmdRun.exe) με το όρισμα -DownloadFile, όπως φαίνεται παρακάτω.
Στις δοκιμές του το Bleedingcomputer, κατάφερε να κατεβάσει ότι αρχείο ήθελε, συμπεριλαμβανομένου και ransomware, στα συστήματά του.
Η Microsoft καταργεί τη δυνατότητα λήψης
Με την χθεσινή κυκλοφορία του Windows Defender έκδοση 4.18.2009.2-0, το Bleedingcomputer ανακάλυψε ότι η Microsoft άλλαξε τις δυνατότητες του MpCmdRun.exe.
Αυτή τη φορά, η Microsoft κατάργησε τη δυνατότητα λήψης αρχείων μέσω του βοηθητικού προγράμματος γραμμής εντολών MpCmdRun.exe.
Σε χρήστες που προσπαθούν να κατεβάσουν ένα αρχείο χρησιμοποιώντας το MpCmdRun.exe θα εμφανιστεί το σφάλμα ” CmdTool: Invalid command line argument.” Η επιλογή γραμμής εντολών -DownloadFile έχει ήδη αφαιρεθεί από την οθόνη βοήθειας.
Οι επιτιθέμενοι χρησιμοποιούν ότι εργαλείο μπορούν προς όφελός τους, ειδικά αυτά που δεν χρειάζονται έγκριση, όπως τα Windows binaries.
Η χρήση των LOLBIN σε επιθέσεις δεν είναι θεωρητική, καθώς έχουν χρησιμοποιηθεί στο παρελθόν από την ομάδα TA505, σε επιθέσεις ransomware και malware.
Η κατάργηση αυτής της επιλογής από το Windows Defender είναι πολύ σωστή, καθώς δεν έχει νόημα να προσφέρουμε στους απειλητικούς παράγοντες πρόσθετα εργαλεία για να θέσουν σε κίνδυνο τα συστήματά μας.
