微软否认Microsoft Defender新增的命令行文件下载功能存在安全风险

上周蓝点网提到微软在最近的更新中为该公司开发的 Microsoft Defender 防病毒软件带来命令行文件下载功能。

借助该命令行工具可以通过特定命令下载互联网上的文件，鉴于命令行工具签名是微软因此引起研究人员的担心。

研究人员担心用户安装的第三方杀毒软件可能会忽略该命令行下载的文件，即便是恶意文件也忽略因而存在风险。

针对媒体报道微软官方目前已经发布回应，该公司表示自带命令行工具新增的下载功能不会产生潜在的安全风险。

原因是 Microsoft Defender 反病毒软件和 Microsoft Defender ATP 工具会将通过该工具下载的文件执行扫描。

也就是说如果有攻击者试图利用此工具下载恶意文件的话，还是要经过防病毒软件扫描并且有恶意行为就会拦截。

同时微软强调命令行工具新增的下载命令以及命令行工具本身均不可进行权限提升 ，也就是无法绕过 UAC 控制。

理论上说无法进行权限提升的话危害会降低很多，当然前提是用户已经开启用户账户控制并且是管理员账号级别。

微软此次新增的是属于 Microsoft Defender 命令行工具 MpCmdRun.exe 的 , 该工具自然也携带微软官方签名。

尽管微软会自己会检测通过该命令行工具下载的文件，但很难第三方杀毒软件是否也会检测微软工具下载的文件。

当用户安装第三方杀毒软件后 Microsoft Defender 就会关闭，但是命令行工具依然可以使用并且可以下载文件。

此次添加的命令行规则为：MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

鉴于该工具带有微软签名并且是通过命令行执行的，攻击者可以在后台悄悄执行因而不会让用户看到操作界面等。

若第三方杀毒软件没有执行严格的下载检测，则有可能导致攻击者下载恶意文件并且可以通过命令行执行文件等。

研究人员建议第三方杀毒软件及时更新安全策略，同时企业管理员也需要使用软件监视该工具防止遭到黑客利用。