[English]Das war aber nur ein ganz kurzes Gastspiel. Microsoft hatte seinem Defender da diese 'sau coole' Download-Funktion spendiert, und bekam eins auf die Mütze. Schwups ist die Download-Funktion wieder ausgebaut …
Anzeige
Defender Download-Feature, darum geht es
Für die Blog-Leser, die es nicht genau verfolgt haben, einige kurze Sätze. Microsoft hatte dem Defender eine Möglichkeit spendiert, beliebige Dateien herunterzuladen. Man kann den Befehl:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe -DownloadFile -url <url> -path <local-path>
als Administrator verwenden, um eine beliebige Datei mit Windows Defender herunterzuladen. Microsoft hatte das Ganze Mitte August 2020 in diesem Supportbeitrag beschrieben.
Diese Download-Funktion verursachte bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung. Denn das ist ein nettes Feature für Malware-Autoren, um ihre Schadfunktionen herunterzuladen. Ich bin Anfang September 2020 auf die Thematik im Blog-Beitrag Sicherheitsbedenken wegen Microsoft Defender Download-Feature eingegangen. Gab Kommentare, die wegen der Sicherheitsbedenken dagegen gehalten haben – klar, 'mit einem Messer kann man sich auch umbringen …'.
Und schon wieder weg …
Gerade lese ich bei den Kollegen von deskmodder.de, dass Microsoft diese Funktion in der Antimalware Client Version 4.18.2009.2-0 wieder ausgebaut habe. Die Hilfe zeigt den Befehl nicht mehr an und bei Verwendung der Option wird ein Fehler gemeldet. Keine Ahnung, was die Entwickler zu diesem Schritt bewogen hat. Die Kollegen von Bleeping Computer haben es hier ebenfalls adressiert.
Ich sage es mal so: Die Halbwertszeit von Funktionen bis zu deren Verschwinden war in diesem Microsoft Windows 10-Universum auch schon mal länger. Gut, das war nie angekündigt. Aber warum habe ich nur immer den Eindruck, dass das alles zwar schön klicki-bunti gestaltet wird, aber andererseits ziemlich konzeptlos ist?
2015
no comment….
…ah doch:
übrigens habe ich grad auf meinem Test-Rechner diverse Version gefunden bin noch mit 1909 unterwegs aber aktuell 18363.1110
Die besagt MpCmdRun.exe wurde auf meinem System 6x gefunden. Das oben beschrieben Szenarium funktionierte ja nur mit jener exe welche in ProgramData liegt.
Ach ja, gemäss Recherchen und Selbstversuch auch bei Deskmodder, hat der Defender natürlich jede Datei erst mal geprüft und schlug, wie es sich gehört, auch an. Bei einer zusätzlich installierter AV-SW (wer macht sowas noch??) ist es möglich, dass damit Prüfausschluss umgangene Sachen ungeprüft von der CMD-Version des Defender doch heruntergeladen wurden. (also doch schon etwas spitzfindig, nicht?)
In ProgramData liegen, wohl nicht nur bei mir, mehrere Versionen jeweils für x86 und x64…
Nachdem sich M$ dazu ja nicht genauer äussern möchte (BleepingComputer hatte das ja versucht in Erfahrung zu bringen), jetzt die Gretchenfrage, wer / wozu braucht es die im ProgramData kann man diese einfach löschen?
Fazit: Schon sehr suspekt….
Oje, auf einem Windows System mit Defender muss eine Schadsoftware Laufen, welche mittels Defender weitere Software runterlädt, welche ebenfalls mit Defender geprüft wird.
Welche dann auch ausgeführt werden muss, vorher aber durch Defender geprüft wird.
Ich verstehe manchen Trubel nicht.
Wieder eine Vermeidliche Sicherheitslücke, die so gut wie unmöglich auszunutzen ist.
– Eine Schadsoftware muss auf Windows ausgeführt werden, ohne vom Defender erkannt zu werden.
– Das Runtergeladene muss ausgeführt werden, ohne vom Defender erkannt zu werden
Auf einem System, wo diese dinge möglich sind, hat der Benutzer offensichtlich ganz andere Probleme als diese eine Schadsoftware.
Und die Leute, die Panik vor so etwas machen, Schließen Vermutlich auch ihren Kühlschrank ab, denn ein Einbrecher welcher schon die Tür oder Fenster aufgehebelt hat soll ja nicht an den Kühlschrank.
Mir leuchtet nicht ein, was für einen Vorteil diese Funktion haben sollte: Ein nur mit Administrator-Rechten zugänglicher Kommandozeilenbefehl – Administratoren sollten eigentlich auch so in der Lage sein, etwas herunterzuladen und auf Sicherheit zu prüfen.
Wenn, dann wäre da eine Schaltfläche in der Benutzeroberfläche „Geprüft herunterladen" sinnvoll gewesen: Wobei der Defender die URL erstmal an MS schickt, ob die Quelle nicht auf einer Blacklist steht, und die Datei nach dem Download sofort scannt, bevor sie für den Zugriff freigegeben wird. Aber auch da wäre es fraglich, wie die URL in den Defender kommen soll. Die spartanische Benutzeroberfläche des Defenders soll ja eher suggerieren „Hier gibt es nichts zu sehen, also lass mich unbesehen meinen Job machen".
– Oder war das als Schnittstelle für den Edge-Browser gedacht, der seine Downloads dann über den Defender abgewickelt hätte?
Welches Konzept?
Wirklich die letzte noch so blöde Idee als Ballast dem OS hinzuzufügen, damit das "Projekt", wenigstens einmal veröffentlicht, "erfolgreich" beendet und wieder eingestampft wird, ist ein Konzept?
Man braucht mittlerweile nach einer Neuinstallation ein richtig gutes "Debloat" Script um den ganzen Berg an Müll raus zu bekommen, oder spielt hier irgendwer tatsächlich Candy Crush?
Kennt jemand wen der das mal gespielt hat? ich mein ernsthaft und nicht aus versehen…?
Privat bin ich auf Manjaro Linux umgestiegen, inklusive Gaming, bereue den Schritt überhaupt nicht, und lasse mir seither wesentlich entspannter den Spaß mit Microsoft Produkten bei der Arbeit bezahlen. Ich hab Ruhe vor dem Müll (tolle Features), den ich ich nicht will…
Also mir gefällt das "Konzept", wenn es denn eines ist…
Ich hab gestern von einem richtig geilen Win10 Dashboard geträumt, eines wo man alle Einstellungen, Ereignisse, Systeminfos, Protokolle und sowas aus 30 Jahren gefrickel zentral finden kann… ;D
Wie gut, das dieser Blog nicht in Gefahr ist, mangels Futter langweilig zu werden…!
Schön hier…
Du kennst den "God Mode" nicht?
https://www.heise.de/tipps-tricks/Windows-10-GodMode-so-erreichen-Sie-den-Gottmodus-4310485.html
Hast wohl zu lange mit Linux rumgefrickelt, dass du das nicht kennst…?
Wenn ich zu der alten Kamelle den Begriff "God Mode" lesen muss, wird mir immer direkt anders… Chip Abo, wa?
Was nen Dashboard ist, weißte wohl nicht so ganz…
"Win10 Dashboard … wo man alle Einstellungen, Ereignisse, Systeminfos, Protokolle und sowas aus 30 Jahren"
Genau das ist der God Mode.
Und nein, ich lese (schon lange) keine Chip (mehr), auch keine (noch nie!) CB. Aber ich habe schon PC-Zeitschriften gelesen, als du noch nicht mal lesen konntest. Damals war die Chip sogar noch lesenswert.
Schon gewusst? Wieso regt sich da niemand auf? Die Defender-Entwickler wussten es offensichtlich auch nicht:
Microsoft Windows [Version 10.0.19041.508]
(c) 2020 Microsoft Corporation. Alle Rechte vorbehalten.
C:\WINDOWS\system32>curl /?
curl: (3) malformed
C:\WINDOWS\system32>curl –help
Usage: curl [options…]
–abstract-unix-socket Connect via abstract Unix domain socket
–anyauth Pick any authentication method
-a, –append Append to target file when uploading
–basic Use HTTP Basic Authentication
–cacert CA certificate to verify peer against
–capath CA directory to verify peer against
-E, –cert Client certificate file and password
–cert-status Verify the status of the server certificate
–cert-type Certificate file type (DER/PEM/ENG)
–ciphers SSL ciphers to use
–compressed Request compressed response
-K, –config Read config from a file
–connect-timeout Maximum time allowed for connection
–connect-to Connect to host
-C, –continue-at Resumed transfer offset
-b, –cookie Send cookies from string/file
-c, –cookie-jar Write cookies to after operation
–create-dirs Create necessary local directory hierarchy
–crlf Convert LF to CRLF in upload
–crlfile Get a CRL list in PEM format from the given file
-d, –data HTTP POST data
–data-ascii HTTP POST ASCII data
–data-binary HTTP POST binary data
–data-raw HTTP POST data, '@' allowed
–data-urlencode HTTP POST data url encoded
–delegation GSS-API delegation permission
–digest Use HTTP Digest Authentication
-q, –disable Disable .curlrc
–disable-eprt Inhibit using EPRT or LPRT
–disable-epsv Inhibit using EPSV
–dns-interface Interface to use for DNS requests
–dns-ipv4-addr IPv4 address to use for DNS requests
–dns-ipv6-addr IPv6 address to use for DNS requests
–dns-servers DNS server addrs to use
-D, –dump-header Write the received headers to
–egd-file EGD socket path for random data
–engine Crypto engine to use
–expect100-timeout How long to wait for 100-continue
-f, –fail Fail silently (no output at all) on HTTP errors
–fail-early Fail on first transfer error, do not continue
–false-start Enable TLS False Start
-F, –form Specify HTTP multipart POST data
–form-string Specify HTTP multipart POST data
–ftp-account Account data string
–ftp-alternative-to-user String to replace USER [name]
–ftp-create-dirs Create the remote dirs if not present
–ftp-method Control CWD usage
–ftp-pasv Use PASV/EPSV instead of PORT
-P, –ftp-port Use PORT instead of PASV
–ftp-pret Send PRET before PASV
–ftp-skip-pasv-ip Skip the IP address for PASV
–ftp-ssl-ccc Send CCC after authenticating
–ftp-ssl-ccc-mode Set CCC mode
–ftp-ssl-control Require SSL/TLS for FTP login, clear for transfer
-G, –get Put the post data in the URL and use GET
-g, –globoff Disable URL sequences and ranges using {} and []
-I, –head Show document info only
-H, –header Pass custom header(s) to server
-h, –help This help text
–hostpubmd5 Acceptable MD5 hash of the host public key
-0, –http1.0 Use HTTP 1.0
–http1.1 Use HTTP 1.1
–http2 Use HTTP 2
–http2-prior-knowledge Use HTTP 2 without HTTP/1.1 Upgrade
–ignore-content-length Ignore the size of the remote resource
-i, –include Include protocol response headers in the output
-k, –insecure Allow insecure server connections when using SSL
–interface Use network INTERFACE (or address)
-4, –ipv4 Resolve names to IPv4 addresses
-6, –ipv6 Resolve names to IPv6 addresses
-j, –junk-session-cookies Ignore session cookies read from file
–keepalive-time Interval time for keepalive probes
–key Private key file name
–key-type Private key file type (DER/PEM/ENG)
–krb Enable Kerberos with security
–libcurl Dump libcurl equivalent code of this command line
–limit-rate Limit transfer speed to RATE
-l, –list-only List only mode
–local-port Force use of RANGE for local port numbers
-L, –location Follow redirects
–location-trusted Like –location, and send auth to other hosts
–login-options Server login options
–mail-auth Originator address of the original email
–mail-from Mail from this address
–mail-rcpt Mail from this address
-M, –manual Display the full manual
–max-filesize Maximum file size to download
–max-redirs Maximum number of redirects allowed
-m, –max-time Maximum time allowed for the transfer
–metalink Process given URLs as metalink XML file
–negotiate Use HTTP Negotiate (SPNEGO) authentication
-n, –netrc Must read .netrc for user name and password
–netrc-file Specify FILE for netrc
–netrc-optional Use either .netrc or URL
-:, –next Make next URL use its separate set of options
–no-alpn Disable the ALPN TLS extension
-N, –no-buffer Disable buffering of the output stream
–no-keepalive Disable TCP keepalive on the connection
–no-npn Disable the NPN TLS extension
–no-sessionid Disable SSL session-ID reusing
–noproxy List of hosts which do not use proxy
–ntlm Use HTTP NTLM authentication
–ntlm-wb Use HTTP NTLM authentication with winbind
–oauth2-bearer OAuth 2 Bearer Token
-o, –output Write to file instead of stdout
–pass Pass phrase for the private key
–path-as-is Do not squash .. sequences in URL path
–pinnedpubkey FILE/HASHES Public key to verify peer against
–post301 Do not switch to GET after following a 301
–post302 Do not switch to GET after following a 302
–post303 Do not switch to GET after following a 303
–preproxy [protocol://]host[:port] Use this proxy first
-#, –progress-bar Display transfer progress as a bar
–proto Enable/disable PROTOCOLS
–proto-default Use PROTOCOL for any URL missing a scheme
–proto-redir Enable/disable PROTOCOLS on redirect
-x, –proxy [protocol://]host[:port] Use this proxy
–proxy-anyauth Pick any proxy authentication method
–proxy-basic Use Basic authentication on the proxy
–proxy-cacert CA certificate to verify peer against for proxy
–proxy-capath CA directory to verify peer against for proxy
–proxy-cert Set client certificate for proxy
–proxy-cert-type Client certificate type for HTTS proxy
–proxy-ciphers SSL ciphers to use for proxy
–proxy-crlfile Set a CRL list for proxy
–proxy-digest Use Digest authentication on the proxy
–proxy-header Pass custom header(s) to proxy
–proxy-insecure Do HTTPS proxy connections without verifying the proxy
–proxy-key Private key for HTTPS proxy
–proxy-key-type Private key file type for proxy
–proxy-negotiate Use HTTP Negotiate (SPNEGO) authentication on the proxy
–proxy-ntlm Use NTLM authentication on the proxy
–proxy-pass Pass phrase for the private key for HTTPS proxy
–proxy-service-name SPNEGO proxy service name
–proxy-ssl-allow-beast Allow security flaw for interop for HTTPS proxy
–proxy-tlsauthtype TLS authentication type for HTTPS proxy
–proxy-tlspassword TLS password for HTTPS proxy
–proxy-tlsuser TLS username for HTTPS proxy
–proxy-tlsv1 Use TLSv1 for HTTPS proxy
-U, –proxy-user Proxy user and password
–proxy1.0 Use HTTP/1.0 proxy on given port
-p, –proxytunnel Operate through a HTTP proxy tunnel (using CONNECT)
–pubkey SSH Public key file name
-Q, –quote Send command(s) to server before transfer
–random-file File for reading random data from
-r, –range Retrieve only the bytes within RANGE
–raw Do HTTP "raw"; no transfer decoding
-e, –referer Referrer URL
-J, –remote-header-name Use the header-provided filename
-O, –remote-name Write output to a file named as the remote file
–remote-name-all Use the remote file name for all URLs
-R, –remote-time Set the remote file's time on the local output
-X, –request Specify request command to use
–request-target Specify the target for this request
–resolve Resolve the host+port to this address
–retry Retry request if transient problems occur
–retry-connrefused Retry on connection refused (use with –retry)
–retry-delay Wait time between retries
–retry-max-time Retry only within this period
–sasl-ir Enable initial response in SASL authentication
–service-name SPNEGO service name
-S, –show-error Show error even when -s is used
-s, –silent Silent mode
–socks4 SOCKS4 proxy on given host + port
–socks4a SOCKS4a proxy on given host + port
–socks5 SOCKS5 proxy on given host + port
–socks5-basic Enable username/password auth for SOCKS5 proxies
–socks5-gssapi Enable GSS-API auth for SOCKS5 proxies
–socks5-gssapi-nec Compatibility with NEC SOCKS5 server
–socks5-gssapi-service SOCKS5 proxy service name for GSS-API
–socks5-hostname SOCKS5 proxy, pass host name to proxy
-Y, –speed-limit Stop transfers slower than this
-y, –speed-time Trigger 'speed-limit' abort after this time
–ssl Try SSL/TLS
–ssl-allow-beast Allow security flaw to improve interop
–ssl-no-revoke Disable cert revocation checks (WinSSL)
–ssl-reqd Require SSL/TLS
-2, –sslv2 Use SSLv2
-3, –sslv3 Use SSLv3
–stderr Where to redirect stderr
–suppress-connect-headers Suppress proxy CONNECT response headers
–tcp-fastopen Use TCP Fast Open
–tcp-nodelay Use the TCP_NODELAY option
-t, –telnet-option Set telnet option
–tftp-blksize Set TFTP BLKSIZE option
–tftp-no-options Do not send any TFTP options
-z, –time-cond Transfer based on a time condition
–tls-max Use TLSv1.0 or greater
–tlsauthtype TLS authentication type
–tlspassword TLS password
–tlsuser TLS user name
-1, –tlsv1 Use TLSv1.0 or greater
–tlsv1.0 Use TLSv1.0
–tlsv1.1 Use TLSv1.1
–tlsv1.2 Use TLSv1.2
–tlsv1.3 Use TLSv1.3
–tr-encoding Request compressed transfer encoding
–trace Write a debug trace to FILE
–trace-ascii Like –trace, but without hex output
–trace-time Add time stamps to trace/verbose output
–unix-socket Connect through this Unix domain socket
-T, –upload-file Transfer local FILE to destination
–url URL to work with
-B, –use-ascii Use ASCII/text transfer
-u, –user Server user and password
-A, –user-agent Send User-Agent to server
-v, –verbose Make the operation more talkative
-V, –version Show version number and quit
-w, –write-out Use output FORMAT after completion
–xattr Store metadata in extended file attributes
C:\WINDOWS\system32>