Błąd w Microsoft Defender pozwala na pobieranie malware
#1
Na ironię zakrawa fakt, że ostatnia aktualizacja dla Microsoft Defender pozwala na pobieranie właściwie dowolnego pliku w tym i malware Smile Na podatność w nowo implementowanym fragmencie kodu linii poleceń -DownloadFile natrafił badacz Mohammad Askar. Odkryta luka pozwala w bezpośredni sposób używając systemowego narzędzia MpCmdRun.exe (Microsoft Antimalware Service Command Line Utility) na pobranie z sieci plików w tym tzw. LOLBIN używając polecenia...
Kod:
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Testy przeprowadzone przez Bleepingcomputer wykazują, że nowy fragment kodu dodano do wersji MD 4.18.2007.9 lub 4.18.2009.9.
Poniżej screen pokazujący, że dzięki tej luce MD pobrał próbkę szkodnika WastedLocker Ransomware.

[Obrazek: microsoft-defender-lolbin.jpg]

Dobra wiadomość jest taka, że MD potrafi wykryć szkodliwy plik już po pobraniu używając tej podatności, ale nie jest pewne czy inne AV też odpowiednio zareagują.

Źródło informacji i obrazka
https://www.bleepingcomputer.com/news/mi...d-malware/

LOLBIN to pliki wykonywalne, które dzięki swoim właściwościom są domyślnie instalowane jako części systemu, co w łatwy sposób pozwala na wykonanie skutecznego ataku. Nieco więcej na ten temat
https://www.sentinelone.com/blog/how-do-...s-attacks/
https://github.com/LOLBAS-Project/LOLBAS
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Mam wykasowanego defendera z systemu większy z niego malware niż defender.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Interesująca dyskusja w tym temacie jest na MT i stamtąd dwie wypowiedzi Andy'ego

Cytat:  #19
Cytat:Bryan320 said:
    Thank you for this post i will be visiting family members homes to install another solution till this is fixed.

You will waste your time and bloat the system by installing & reinstalling security solutions.

    There are already several LOLBins in the system that can do the same and are used by malc0ders for a long time. So this new one does not increase the danger for the home users. It can be less visible in incidents available in enterprise solutions.
    This LOLBin will work with any AV as well (similarly to most LOLBins) - it does not require WD enabled.
    WD will be probably the first to secure this by Machine Learning (locally or in the cloud). It is easy because it is known what kind of file should be downloaded (WD update).

You should rather think about how to prevent/mitigate other popular LOLBins.
https://malwaretips.com/threads/microsof...ost-903099

Cytat:Yesterday at 3:19 PM
    #21

Cytat:SearchLight said:
    In other words, should we be concerned about this "vulnerability" in WD if we are using ConfigDef at HIGH?

    And just add VS to close all the "holes" in WD?

It is not "vulnerability" in WD, but rather "vulnerability" in Windows - it will work with any AV installed. It does not also decrease the protection of ConfigureDefender HIGH settings. The number of malware that can download something via LOLBins from the remote location will not be much greater. It is as true as introducing the new kind of expensive vodka does not increase the number of drinkers (some drinkers will stop drinking the Polish vodka and start drinking MpCmdRun vodka).
Using VS will add some protection to this setup, just like without MpCmdRun.
https://malwaretips.com/threads/microsof...ost-903106
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości