微软给Microsoft Defender新增的文件下载功能引起安全研究人员的担心
微软在近期向 Microsoft Defender 防病毒软件推送更新带来新功能,该功能允许通过命令行从互联网下载资源。
这引起部分安全研究人员的警觉:因为黑客亦可使用该功能悄咪咪的下载恶意文件存储在本地后从本地发起执行。
所幸即便是通过自己附带功能下载的文件 Microsoft Defender 也会扫描,因此多数恶意软件应该可以成功拦截。
按理说既然微软也会对自己下载的文件执行安全扫描,那和用户通过其他渠道下载互联网上的文件本质没有区别。
既然如此那安全研究人员又何须担心微软这项新功能有安全威胁呢?事实上研究人员担心的不是自己而是第三方。
微软此次新增的是属于 Microsoft Defender 命令行工具 MpCmdRun.exe 的 , 该工具自然也携带微软官方签名。
尽管微软会自己会检测通过该命令行工具下载的文件,但很难第三方杀毒软件是否也会检测微软工具下载的文件。
当用户安装第三方杀毒软件后 Microsoft Defender 就会关闭,但是命令行工具依然可以使用并且可以下载文件。
此次添加的命令行规则为:MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
鉴于该工具带有微软签名并且是通过命令行执行的,攻击者可以在后台悄悄执行因而不会让用户看到操作界面等。
若第三方杀毒软件没有执行严格的下载检测,则有可能导致攻击者下载恶意文件并且可以通过命令行执行文件等。
研究人员建议第三方杀毒软件及时更新安全策略,同时企业管理员也需要使用软件监视该工具防止遭到黑客利用。
微软官方并未对此事发布详细说明,该公司也没有解释为什么要向该工具提供下载功能,毕竟想要下载方法很多。