أزالت شركة مايكروسوفت خدمة تسمح للمستخدمين بتنزيل الملفات عبر Windows Defender وذلك بعد أن تم توضيح كيفية استخدامها من قبل المهاجمين لتنزيل البرامج الضارة على جهاز الكمبيوتر الخاص.

عندما تم اكتشاف الثغرات الأمنية، ازداد القلق ضمن مجتمع الأمن السيبراني من أن تسمح Microsoft بإساءة استخدام Defender من قبل المهاجمين باعتباره LOLBIN، وهي ملفات نظام تشغيل مشروعة يمكن إساءة استخدامها لأغراض ضارة.

وفيما كان يتم استخدام Windows Defender في ما مضى لتنزيل الملفات بشكل كنا نعتقد أنه آمن، عاد الشك مرة أخرى في مدى قدرة أنظمة التشغيل على حماية الامن السيبراني الخاص بالمستخدم أو المؤسسات.

عند تنزيل الملف الذي يتضمن برامج ضارة، قد يكشف Windows Defender الأمر إذا كان البرنامج نشطاً. ولكن عدى عن ذلك، قد تتخطى البرامج الأخرى النائمة عمل النظام الأمني بحيث تمر الملفات المدسوسة مرور الكرام إلى داخل أجهزة المستخدمين الالكترونية.

 

مايكروسوفت تزيل ميزة التنزيل

مع إصدار برنامج Windows Defender Antimalware Client مؤخرا، الاصدار 4.18.2009.2-0 ، تبين أن Microsoft قامت مرة أخرى بتغيير ميزات MpCmdRun.exe بهدوء، بحيث أزالت القدرة على تنزيل الملفات عبر الأداة المساعدة لسطر الأوامر MpCmdRun.exe. وبذلك تمت بالفعل إزالة خيار سطر الأوامر -DownloadFile من شاشة التعليمات.

تجدر الإشارة إلى أن ممثلو التهديد سيستخدمون كل الأدوات المتاحة لصالحهم، أكانت أدوات رسمية أم لا، خاصة تلك التي قد يستطيعون التلاعب بها لغش المستخدمين. فاستخدام LOLBINs في الهجمات ليس نظرياً، بحيث تم استخدامه في الماضي من قبل مجموعة TA505 APT وهجمات برامج الفدية وهجمات البرامج الضارة الأخرى.

وبالتالي، تُعد إزالة هذا الخيار من Windows Defender أمرا جيدا للحفاظ على الامن السيبراني الخاص بالمستخدمين. فلا معنى بمنح الجهات الفاعلة في التهديد أدوات إضافية يستطيعون التلاعب بها لتهديد أنظمتنا الأمنية.