Vor ein paar Wochen, Microsoft führte eine Funktion in seine Windows Verteidiger-Antivirus Das hat vom ersten Moment an ein völliges Misstrauen der Sicherheitsexperten hervorgerufen: die Möglichkeit, Dateien direkt vom Antivirenprogramm herunterzuladen. Microsoft behauptete, die Funktion sei sicher, während alle Arten von Forschern das Gegenteil bewiesen hätten. Ein Angreifer kann diese Funktion nutzen, um schädliche Software remote auf jeden Computer zu übertragen. Und deshalb hat Microsoft endlich beschlossen, diese Funktion aus seiner zu streichen Antivirus , Zumindest für jetzt.
Eine der Techniken, die Hacker am häufigsten verwenden, um alle Arten von Computern anzugreifen, ist bekannt als LOLBIN . Diese Technik ermöglicht es grundsätzlich, legitime Betriebssystemprogramme wie Finger oder Windows Defender zu nutzen MpCmdRun Tool, um illegale Aktivitäten wie das Stehlen von Daten oder das Senden von Malware durchzuführen.
Die neue Windows Defender-Download-Funktion wurde als -DownloadFile-Parameter des Programms MpCmdRun.exe. Zu diesem Parameter könnten wir eine beliebige URL hinzufügen und einen Pfad zum Speichern der Datei und der ausführbaren Datei, die für das Herunterladen und Speichern auf dem Computer zuständig ist.
Es ist sehr einfach, diesen Befehl zum Herunterladen zu verwenden Ransomware und Trojaner. Es reicht aus, einen CMD-Befehl in einem Skript oder in einem Word-Makro auszuführen, und unser PC ist bereits gefährdet. Obwohl das Antivirenprogramm die Bedrohung erkennen sollte, wenn es aktiv ist, kann es sein, dass es ein Tool des Windows-Systems und anderer Sicherheitsprogramme ist, die es jedoch nicht vermuten. Und am Ende ist unser PC in Gefahr.
Mit Windows Defender können Sie keine Dateien mehr herunterladen
Vor einigen Stunden hat Microsoft ein neues unbeaufsichtigtes Update für sein Antivirenprogramm veröffentlicht, 4.18.2009.2-0. Diese Version hat im Grunde genommen die Möglichkeit beseitigt, MpCmdRun.exe zum Herunterladen von Dateien zu verwenden. Mit anderen Worten, Der DownloadFile-Parameter wurde entfernt vom Werkzeug.
Wir müssen nichts anderes tun. Das Antivirenprogramm wird automatisch auf allen Computern aktualisiert, auf denen es aktiviert ist, sodass es einige Stunden lang keine Computer gibt, die diesen LOLBIN zum Herunterladen von schädlicher Software verwenden können. Benutzer, die noch nicht mit dem Internet verbunden sind, laden die neue Version des Antivirenprogramms herunter, sobald sie eine Verbindung herstellen.
Ist es sinnvoll, Dateien von einem Antivirenprogramm herunterzuladen?
Wir wissen nicht, warum Microsoft beschlossen hat, diese Funktion zu veröffentlichen. Windows Defender verfügt bereits über eine eigene Download- und Update-Engine , zusätzlich zu seinem System, um Proben von gefährlichen Dateien zu senden, die erkannt werden. Daher ist es nicht erforderlich, in einer der ausführbaren Antiviren-Dateien einen Parameter zu haben, mit dem wir Dateien aus dem Internet herunterladen können.
Wir wissen nicht, warum Microsoft diese Funktion gewählt hat. Vielleicht bereitete er etwas anderes vor. Oder Sie möchten Ihrer Sicherheitssoftware einfach völlig absurde, unnötige und gefährliche Funktionen hinzufügen. Wie auch immer, ein Antivirenprogramm muss keine Komponente haben, die das Herunterladen von Dateien ermöglicht. Je einfacher diese Art von Software ist, desto besser. Wichtig ist, dass es uns richtig schützt.
