Microsoft Defender Download-Feature wieder weg …

[English]Das war aber nur ein ganz kurzes Gastspiel. Microsoft hatte seinem Defender da diese ’sau coole‘ Download-Funktion spendiert, und bekam eins auf die Mütze. Schwups ist die Download-Funktion wieder ausgebaut …

Defender Download-Feature, darum geht es

Für die Blog-Leser, die es nicht genau verfolgt haben, einige kurze Sätze. Microsoft hatte dem Defender eine Möglichkeit spendiert, beliebige Dateien herunterzuladen. Man kann den Befehl:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe  -DownloadFile -url <url> -path <local-path>

als Administrator verwenden, um eine beliebige Datei mit Windows Defender herunterzuladen. Microsoft hatte das Ganze Mitte August 2020 in diesem Supportbeitrag beschrieben.

Diese Download-Funktion verursachte bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung. Denn das ist ein nettes Feature für Malware-Autoren, um ihre Schadfunktionen herunterzuladen. Ich bin Anfang September 2020 auf die Thematik im Blog-Beitrag Sicherheitsbedenken wegen Microsoft Defender Download-Feature eingegangen. Gab Kommentare, die wegen der Sicherheitsbedenken dagegen gehalten haben – klar, ‚mit einem Messer kann man sich auch umbringen …‘.

Und schon wieder weg …

Gerade lese ich bei den Kollegen von, dass Microsoft diese Funktion in der Antimalware Client Version 4.18.2009.2-0 wieder ausgebaut habe.  Die Hilfe zeigt den Befehl nicht mehr an und bei Verwendung der Option wird ein Fehler gemeldet. Keine Ahnung, was die Entwickler zu diesem Schritt bewogen hat. Die Kollegen von Bleeping Computer haben es hier ebenfalls adressiert.

Ich sage es mal so: Die Halbwertszeit von Funktionen bis zu deren Verschwinden war in diesem Microsoft Windows 10-Universum auch schon mal länger. Gut, das war nie angekündigt. Aber warum habe ich nur immer den Eindruck, dass das alles zwar schön klicki-bunti gestaltet wird, aber andererseits ziemlich konzeptlos ist?

Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Microsoft Defender Download-Feature wieder weg …

    • RePao sagt:

      …ah doch:

      übrigens habe ich grad auf meinem Test-Rechner diverse Version gefunden bin noch mit 1909 unterwegs aber aktuell 18363.1110
      Die besagt MpCmdRun.exe wurde auf meinem System 6x gefunden. Das oben beschrieben Szenarium funktionierte ja nur mit jener exe welche in ProgramData liegt.
      Ach ja, gemäss Recherchen und Selbstversuch auch bei Deskmodder, hat der Defender natürlich jede Datei erst mal geprüft und schlug, wie es sich gehört, auch an. Bei einer zusätzlich installierter AV-SW (wer macht sowas noch??) ist es möglich, dass damit Prüfausschluss umgangene Sachen ungeprüft von der CMD-Version des Defender doch heruntergeladen wurden. (also doch schon etwas spitzfindig, nicht?)

      In ProgramData liegen, wohl nicht nur bei mir, mehrere Versionen jeweils für x86 und x64…

      Nachdem sich M$ dazu ja nicht genauer äussern möchte (BleepingComputer hatte das ja versucht in Erfahrung zu bringen), jetzt die Gretchenfrage, wer / wozu braucht es die im ProgramData kann man diese einfach löschen?

      Fazit: Schon sehr suspekt….

  1. Stephan sagt:

    Oje, auf einem Windows System mit Defender muss eine Schadsoftware Laufen, welche mittels Defender weitere Software runterlädt, welche ebenfalls mit Defender geprüft wird.
    Welche dann auch ausgeführt werden muss, vorher aber durch Defender geprüft wird.

    Ich verstehe manchen Trubel nicht.
    Wieder eine Vermeidliche Sicherheitslücke, die so gut wie unmöglich auszunutzen ist.

    – Eine Schadsoftware muss auf Windows ausgeführt werden, ohne vom Defender erkannt zu werden.
    – Das Runtergeladene muss ausgeführt werden, ohne vom Defender erkannt zu werden

    Auf einem System, wo diese dinge möglich sind, hat der Benutzer offensichtlich ganz andere Probleme als diese eine Schadsoftware.
    Und die Leute, die Panik vor so etwas machen, Schließen Vermutlich auch ihren Kühlschrank ab, denn ein Einbrecher welcher schon die Tür oder Fenster aufgehebelt hat soll ja nicht an den Kühlschrank.

  2. Steter Tropfen sagt:

    Mir leuchtet nicht ein, was für einen Vorteil diese Funktion haben sollte: Ein nur mit Administrator-Rechten zugänglicher Kommandozeilenbefehl – Administratoren sollten eigentlich auch so in der Lage sein, etwas herunterzuladen und auf Sicherheit zu prüfen.

    Wenn, dann wäre da eine Schaltfläche in der Benutzeroberfläche „Geprüft herunterladen“ sinnvoll gewesen: Wobei der Defender die URL erstmal an MS schickt, ob die Quelle nicht auf einer Blacklist steht, und die Datei nach dem Download sofort scannt, bevor sie für den Zugriff freigegeben wird. Aber auch da wäre es fraglich, wie die URL in den Defender kommen soll. Die spartanische Benutzeroberfläche des Defenders soll ja eher suggerieren „Hier gibt es nichts zu sehen, also lass mich unbesehen meinen Job machen“.
    – Oder war das als Schnittstelle für den Edge-Browser gedacht, der seine Downloads dann über den Defender abgewickelt hätte?

  3. Tim sagt:

    Welches Konzept?

    Wirklich die letzte noch so blöde Idee als Ballast dem OS hinzuzufügen, damit das „Projekt“, wenigstens einmal veröffentlicht, „erfolgreich“ beendet und wieder eingestampft wird, ist ein Konzept?

    Man braucht mittlerweile nach einer Neuinstallation ein richtig gutes „Debloat“ Script um den ganzen Berg an Müll raus zu bekommen, oder spielt hier irgendwer tatsächlich Candy Crush?
    Kennt jemand wen der das mal gespielt hat? ich mein ernsthaft und nicht aus versehen…?

    Privat bin ich auf Manjaro Linux umgestiegen, inklusive Gaming, bereue den Schritt überhaupt nicht, und lasse mir seither wesentlich entspannter den Spaß mit Microsoft Produkten bei der Arbeit bezahlen. Ich hab Ruhe vor dem Müll (tolle Features), den ich ich nicht will…

    Also mir gefällt das „Konzept“, wenn es denn eines ist…

    Ich hab gestern von einem richtig geilen Win10 Dashboard geträumt, eines wo man alle Einstellungen, Ereignisse, Systeminfos, Protokolle und sowas aus 30 Jahren gefrickel zentral finden kann… ;D

    Wie gut, das dieser Blog nicht in Gefahr ist, mangels Futter langweilig zu werden…!
    Schön hier…

  4. 1ST1 sagt:

    Schon gewusst? Wieso regt sich da niemand auf? Die Defender-Entwickler wussten es offensichtlich auch nicht:

