{"id":235189,"date":"2020-09-06T07:34:15","date_gmt":"2020-09-06T05:34:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235189"},"modified":"2020-09-19T00:24:48","modified_gmt":"2020-09-18T22:24:48","slug":"sicherheitsbedenken-wegen-microsoft-defender-download-feature","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/06\/sicherheitsbedenken-wegen-microsoft-defender-download-feature\/","title":{"rendered":"Sicherheitsbedenken wegen Microsoft Defender Download-Feature"},"content":{"rendered":"

[English<\/a>]Microsoft hat dem Defender eine M\u00f6glichkeit spendiert, beliebige Dateien herunterzuladen. Diese Download-Funktion verursacht bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung.<\/p>\n

<\/p>\n

\"\"Ich hatte den Hinweis auf die neue Funktion bereit die Tage bei den Kollegen von deskmodder.de im Beitrag Windows Defender (MpCmdRun.exe) als Download-Manager nutzen? Kein Problem<\/a> gelesen. Mit dem Update des Defender auf die Version 4.18.2007.8-0 (Quelle Will Dormann<\/a>) gibt es eine neue Funktion in der MpCmdRun.exe. Hacker mohammadaskar2<\/a> hat das Ganze durch Zufall gefunden<\/a> und bezeichnet als Microsoft Malware Protection Command Line<\/em>. Man kann den Befehl:<\/p>\n

C:\\ProgramData\\Microsoft\\Windows Defender\\Platform\\4.18.2008.9-0\\MpCmdRun.exe \u00a0-DownloadFile -url <url> -path <local-path><\/p>\n

als Administrator verwenden, um eine beliebige Datei mit Windows Defender herunterzuladen. Microsoft hat Mitte August 2020 das Ganze in diesem Supportbeitrag<\/a> beschrieben. Kollege Lawrence Abrams weist auf Bleeping Computer darauf hin<\/a>, dass dies ein gefundenes Fressen f\u00fcr Malware-Autoren ist. Es ist ein erneuter Fall, bei dem legitime Betriebssystemdateien, die f\u00fcr b\u00f6swillige Zwecke missbraucht werden k\u00f6nnen.<\/p>\n

Das Ganze wird als Living-off-the-land-Bin\u00e4rdateien oder LOLBINs bezeichnet. Abrams schreibt, dass die Funktion mit dem Update auf Version 4.18.2007.9 oder 4.18.2009.9 eingef\u00fchrt wurde. BleepingComputer konnte die resources.exe<\/em>-Datei herunterladen, das WastedLocker Ransomware-Beispiel, das bei einem k\u00fcrzlichen Garmin-Angriff verwendet wurde.<\/p>\n

Bleibt nur zu hoffen, dass der Microsoft Defender alle b\u00f6sartige Dateien erkennt, die mit MpCmdRun.exe heruntergeladen wurden. Das Problem, dass andere Virenschutzsoftware den Defender deaktiviert und so f\u00fcr diesen Angriff blind ist, d\u00fcrfte langsam entsch\u00e4rft werden. Denn Microsoft will ja, dass der Defender in Windows nicht mehr abschaltbar ist (siehe Microsoft Defender unter Windows 10 nicht mehr abschaltbar<\/a>). Der Fall zeigt wieder einmal, dass solche netten Features durchaus ihre Archillesferse haben k\u00f6nnen.<\/p>\n

Erg\u00e4nzung: Microsoft hat zu den Berichten, dass die Download-Funktion des Defender eine Schwachstelle sei, folgende Stellungnahme abgegeben (Quelle<\/a>).<\/p>\n

Despite these reports, Microsoft Defender antivirus and Microsoft Defender ATP will still protect customers from malware. These programs detect malicious files downloaded to the system through the antivirus file download feature.<\/em><\/p>\n

Ist nat\u00fcrlich elegant ausgewichen, denn dies wurde niemals in Abrede gestellt.<\/p><\/blockquote>\n

Erg\u00e4nzung:<\/strong> Das Feature wurde wieder ausgebaut, siehe\u00a0Microsoft Defender Download-Feature wieder weg \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat dem Defender eine M\u00f6glichkeit spendiert, beliebige Dateien herunterzuladen. Diese Download-Funktion verursacht bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459,161],"tags":[2699],"class_list":["post-235189","post","type-post","status-publish","format-standard","hentry","category-software","category-virenschutz","tag-defender"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235189"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235189\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}