Windows Defender otrzymał niedawno funkcjonalność, która szybko stała się obiektem kontrowersji. Chodzi konkretnie o możliwość pobierania plików poprzez Wiersz poleceń z użyciem aplikacji. Badacze uznali, że może ona poszerzać powierzchnię ataku w Windows. Microsoft natomiast uspokaja — nic takiego nie ma miejsca.
Windows Defender od wersji 4.18.2007.9 albo 4.18.2009.9 daje możliwość pobierania plików przez CMD, przykładowo: MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]. Choć samo to nie jest celem exploitowania, to funkcjonalność ma umożliwiać działanie skryptu, który może uruchomić Wiersz poleceń, aby zaimportować kolejne pliki z Internetu z użyciem tzw. binarek living-off-the-land albo LOLBINs.
Okazuje się, że za pomocą polecenia można pobrać złośliwe oprogramowanie. Przykładowo redakcji BleepingComputer udało się pobrać próbkę WastedLocker Ransomware użytego w niedawnym ataku Garmin. Dobre wieści są takie, że Microsoft Defender nadal wykrywa szkodliwe oprogramowanie pobierane przez MpCmdRun.exe, ale nie jest jasne, czy inne pakiety chroniące pozwolą temu programowi obejść ich skaner. Jak wyjaśnia Microsoft:
Pomimo tych raportów antywirus Microsoft Defender oraz Microsoft Defender ATP nadal chronią klientów przed malware. Programy te wykrywają szkodliwe pliki pobrane w systemie poprzez funkcjonalność antywirusową dla pobranych plików.
Microsoft wprawdzie uspokaja, że funkcja jest bezpieczna, ale dość oczywistym faktem jest, że im większa potencjalna powierzchnia ataku, tym mniej bezpieczny system. Z drugiej strony zbytnie ograniczanie tej powierzchni prowadzi do zamkniętych systemów, takich jak Windows 10 w trybie S czy Windows 10X, z których zaawansowani użytkownicy mają mało pożytku.
341f31d.png)