Sfruttare Live Response di Microsoft Defender for Endpoint per disinstallare applicazioni
Molte volte potremmo avere la necessità di disinstallare applicazioni, magari anche malevole, in una postazione di lavoro, ma senza aver accesso diretto al dispositivo.
In questo caso ci troviamo davanti ad un problema, in quanto rispondere in modo veloce ad un’applicazione malevole potrebbe evitarci spiacevoli sorprese. A questa esigenza ci può aiutare la funzionalità di Live Response di Microsoft Defender for Endpoint / XDR, all’interno della community ho parlato già di questo funzionalità e di come essa può aiutarci a rispondere in modo proattivo ed in tempo reale ad Incident di sicurezza critici, a tal proposito vi lascio il link all’articolo Analizzare e rispondere alle minacce in tempo reale? Microsoft Live Response è la soluzione che stavate cercando – ICT Power
In questo articolo invece voglio darvi evidenza di come poter sfruttare questa funzionalità per procedere alla disinstallazione di un’applicazione, senza avere accesso fisico al computer di un nostro utente.
Licenze
Non posso non iniziare a parlare di un servizio Microsoft senza darvi evidenza delle licenze necessarie per poter sfruttare questo servizio, quindi vediamo insieme le licenze necessarie:
- Microsoft Defender for Endpoint P2
-
Microsoft Defender XDR che è incluso nei seguenti Piani:
- Microsoft 365 E5 or A5
- Microsoft 365 E3 with the Microsoft 365 E5 Security add-on
- Microsoft 365 E3 with the Enterprise Mobility + Security E5 add-on
- Microsoft 365 A3 with the Microsoft 365 A5 Security add-on
- Windows 10 Enterprise E5 or A5
- Windows 11 Enterprise E5 or A5
- Enterprise Mobility + Security (EMS) E5 or A5
- Microsoft Defender for Endpoint
- Microsoft 365 Business Premium
- Microsoft Defender for Business
Naturalmente quando parlo di licenze Microsoft 365 non posso non ringraziare Aaron Dinnage per il minuzioso lavoro che ha fatto con il suo sito Home | M365 Maps per aiutarci a verificare i singoli servizi inclusi nei vari piani Microsoft 365.
Prerequisiti
Dovrete verificare anche alcuni prerequisiti necessari per poter sfruttare la funzionalità di Live Response di Microsoft Defender XDR che per comodità vi riepilogo di seguito:
-
Sistemi Operativi supportati
-
Windows 10 & Windows 11
- Versione 1909 or later What’s new in Windows 10, version 1909 – Windows 10 | Microsoft Learn
- Versione 1903 What’s new in Windows 10, version 1903 – Windows 10 | Microsoft Learn con KB4515384
- Versione 1809 (RS 5) What’s new in Windows 10, version 1809 – Windows 10 | Microsoft Learn con KB4537818
- Versione 1803 (RS4) What’s new in Windows 10, version 1803 – Windows 10 | Microsoft Learn con KB4537795
- Versione 1709 (RS 3) What’s new in Windows 10, version 1709 – Windows 10 | Microsoft Learn con KB4537816
- macOS la versione minima 101.43.84. Supportata per dispositivi Intel e ARM
- Linux la versione minima è la 101.45.13
- Windows Server 2012 R2 con KB5005292
- Windows Server 2016 con KB5005292
-
Windows Server 2019
- Windows Server 2022
-
- Abilitare la funzionalità di Live Response dalle impostazioni avanzate dal portale di Defender
- Abilitare la funzionalità di Live Reponse per Server dalle impostazioni avanzate dal portale di Defender
- Abilitare l’esecuzione di Script non firmati
- Avere i permessi necessari per usare la funzionalità (Ruolo “Manage Security Settings”)
Svolgimento
Per darvi evidenza di come poter procedere alla disinstallazione di un programma sfruttando le funzionalità di Live Response io utilizzerò un tenant Microsoft 365 ed una Virtual Machine Windows 11 in hosting presso Microsoft Azure, vi darò evidenza di come poter disinstallare l’applicativo Team Viewer, specifico inoltre che il device è onbordato in Microsoft Defender, questa funzionalità è utile quando i dispositivi non sono gestiti da Microsoft Intune o da un qualsiasi MDM.
Figura 1: Tenant con Licenze Microsoft 365 E5 che contengono la features di Live Response
Figura 2: Device UserLaptop gestito da Microsoft Defender for Endpoint
Figura 3: Device utilizzato per Demo con sistema operativo Windows 11 che rispetta tutti i prerequisiti
Figura 4: Team Viewer installato sulla macchina di Demo
Ora dovrete trovare la “unistallation string” per l’applicativo che vorrete disinstallare, nel mio caso Team Viewer.
Figura 5: Comando Powershell per trovare il percorso di “unistallation” dell’applicativo
Figura 6: Unistallation String di Team Viewer
Ora dovrete procedere a creare il file ps1 che io chiamerò unistallTeamViewer.ps1 vi spiegherò le tre righe dello script
- $appTeamViewer = Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall | Get-ItemProperty | Where-Object {$_.DisplayName -eq “TeamViewer” } | Select-Object -Property DisplayName,UninstallString
- $uninst = $appTeamViewer.UninstallString
- cmd /c $uninst /x /S
all’interno del punto 1 recuperiamo la “unistallation string” relativa all’applicativo Team Viewer con il parametro Where-Object {$_.DisplayName -eq “TeamViewer” , voi dovrete sostituirlo con il programma da voi scelto per la disinstallazione, questa stringa verrà inserita all’interno della variabile $appTeamViewer.
All’interno del punto 2 invece recuperiamo la “unistallation string” dell’applicazione da disinstallare in quanto con il primo comando il risultato restituisce sia il Display Name che la Unistallation String.
All’interno del punto 3 invece richiamiamo il comand prompt passando l’unistallation string e passando il parametro /S che disinstalla in maniera silente senza interazione da parte del nostro utente.
Figura 7: Creazione file PowerShell per la disinstallazione da importare all’interno della Library della funzionalità di Live Response
Figura 8: Salvataggio Script
Figura 9: Salvataggio Script nel mio caso nel percorso D:\service
Figura 10: File Script salvato all’interno del percorso scelto
Ora accedete al portale di Microsoft Defender
Figura 11: Accedere al dispositivo per eseguire la sessione di Live Response
Figura 12: Avvio della sessione di Live Response sul pc UserLaptop
Figura 13: Sessione avviata in modo corretto e apertura library per caricamento dello script
Figura 14: Caricamento file script creato in precedenza nella library
Figura 15: Upload Script all’interno della Library di Live Response
Figura 16: Script Caricati in modo corretto
Figura 17: Comando “library” per vedere i file caricati all’interno della libreria di Live Response
Figura 18: File correttamente presente nella Library
Ora siete pronti per eseguire lo script, dovrete farlo dalla sessione di Live Reponse con questo comando run nomescrpit.ps1 nel mio caso run unistallationTeamViewer.ps1
Figura 19: Esecuzione comando per eseguire lo script Powershell
Figura 20: Script eseguito e generato Transcript
Ora recatevi all’interno del dispositivo, nel mio caso in RDP all’interno della macchina “UserLaptop”, andiamo a verificare se la disinstallazione dell’applicativo Team Viewer risulta eseguita:
Figura 21: Team Viewer non più presente all’interno del dispositivo
Ora se lo script non è più necessario potete procedere all’eliminazione dello stesso dalla library
Figura 22: Comando per rimuovere lo script caricato
Figura 23: Script rimosso in modo corretto
Conclusioni
Con questa funzionalità, se i dispositivi non sono gestiti da Microsoft Intune, gli analisti di sicurezza se rilevano un’installazione anomala all’interno di un dispositivo possono procedere alla disinstallazione della stessa senza dover aver accesso alla postazione dell’utente.
Una funzionalità che può aiutarvi a risparmiare diverso tempo e vi permette inoltre di rispondere in modo semplice, veloce ed efficace a installazione di programmi anomali.
Considerate inoltre che lo script viene caricato all’interno della Library e può essere utilizzato, senza doverlo ricaricare, su tutti i dispositivi che ne hanno necessità fino all’eliminazione di parte di un amministratore.