Sfruttare Live Response di Microsoft Defender for Endpoint per disinstallare applicazioni

Molte volte potremmo avere la necessità di disinstallare applicazioni, magari anche malevole, in una postazione di lavoro, ma senza aver accesso diretto al dispositivo.

In questo caso ci troviamo davanti ad un problema, in quanto rispondere in modo veloce ad un’applicazione malevole potrebbe evitarci spiacevoli sorprese. A questa esigenza ci può aiutare la funzionalità di Live Response di Microsoft Defender for Endpoint / XDR, all’interno della community ho parlato già di questo funzionalità e di come essa può aiutarci a rispondere in modo proattivo ed in tempo reale ad Incident di sicurezza critici, a tal proposito vi lascio il link all’articolo Analizzare e rispondere alle minacce in tempo reale? Microsoft Live Response è la soluzione che stavate cercando – ICT Power

In questo articolo invece voglio darvi evidenza di come poter sfruttare questa funzionalità per procedere alla disinstallazione di un’applicazione, senza avere accesso fisico al computer di un nostro utente.

Licenze

Non posso non iniziare a parlare di un servizio Microsoft senza darvi evidenza delle licenze necessarie per poter sfruttare questo servizio, quindi vediamo insieme le licenze necessarie:

  • Microsoft Defender for Endpoint P2
  • Microsoft Defender XDR che è incluso nei seguenti Piani:
    • Microsoft 365 E5 or A5
    • Microsoft 365 E3 with the Microsoft 365 E5 Security add-on
    • Microsoft 365 E3 with the Enterprise Mobility + Security E5 add-on
    • Microsoft 365 A3 with the Microsoft 365 A5 Security add-on
    • Windows 10 Enterprise E5 or A5
    • Windows 11 Enterprise E5 or A5
    • Enterprise Mobility + Security (EMS) E5 or A5
    • Microsoft Defender for Endpoint
    • Microsoft 365 Business Premium
    • Microsoft Defender for Business

Naturalmente quando parlo di licenze Microsoft 365 non posso non ringraziare Aaron Dinnage per il minuzioso lavoro che ha fatto con il suo sito Home | M365 Maps per aiutarci a verificare i singoli servizi inclusi nei vari piani Microsoft 365.

Prerequisiti

Dovrete verificare anche alcuni prerequisiti necessari per poter sfruttare la funzionalità di Live Response di Microsoft Defender XDR che per comodità vi riepilogo di seguito:

Svolgimento

Per darvi evidenza di come poter procedere alla disinstallazione di un programma sfruttando le funzionalità di Live Response io utilizzerò un tenant Microsoft 365 ed una Virtual Machine Windows 11 in hosting presso Microsoft Azure, vi darò evidenza di come poter disinstallare l’applicativo Team Viewer, specifico inoltre che il device è onbordato in Microsoft Defender, questa funzionalità è utile quando i dispositivi non sono gestiti da Microsoft Intune o da un qualsiasi MDM.

Figura 1: Tenant con Licenze Microsoft 365 E5 che contengono la features di Live Response

Figura 2: Device UserLaptop gestito da Microsoft Defender for Endpoint

Figura 3: Device utilizzato per Demo con sistema operativo Windows 11 che rispetta tutti i prerequisiti

Figura 4: Team Viewer installato sulla macchina di Demo

Ora dovrete trovare la “unistallation string” per l’applicativo che vorrete disinstallare, nel mio caso Team Viewer.

Figura 5: Comando Powershell per trovare il percorso di “unistallation” dell’applicativo

Figura 6: Unistallation String di Team Viewer

Ora dovrete procedere a creare il file ps1 che io chiamerò unistallTeamViewer.ps1 vi spiegherò le tre righe dello script

  • $appTeamViewer = Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall | Get-ItemProperty | Where-Object {$_.DisplayName -eq “TeamViewer” } | Select-Object -Property DisplayName,UninstallString
  • $uninst = $appTeamViewer.UninstallString
  • cmd /c $uninst /x /S

all’interno del punto 1 recuperiamo la “unistallation string” relativa all’applicativo Team Viewer con il parametro Where-Object {$_.DisplayName -eq “TeamViewer” , voi dovrete sostituirlo con il programma da voi scelto per la disinstallazione, questa stringa verrà inserita all’interno della variabile $appTeamViewer.

All’interno del punto 2 invece recuperiamo la “unistallation string” dell’applicazione da disinstallare in quanto con il primo comando il risultato restituisce sia il Display Name che la Unistallation String.

All’interno del punto 3 invece richiamiamo il comand prompt passando l’unistallation string e passando il parametro /S che disinstalla in maniera silente senza interazione da parte del nostro utente.

Figura 7: Creazione file PowerShell per la disinstallazione da importare all’interno della Library della funzionalità di Live Response

Figura 8: Salvataggio Script

Figura 9: Salvataggio Script nel mio caso nel percorso D:\service

Figura 10: File Script salvato all’interno del percorso scelto

Ora accedete al portale di Microsoft Defender

Figura 11: Accedere al dispositivo per eseguire la sessione di Live Response

Figura 12: Avvio della sessione di Live Response sul pc UserLaptop

Figura 13: Sessione avviata in modo corretto e apertura library per caricamento dello script

Figura 14: Caricamento file script creato in precedenza nella library

Figura 15: Upload Script all’interno della Library di Live Response

Figura 16: Script Caricati in modo corretto

Figura 17: Comando “library” per vedere i file caricati all’interno della libreria di Live Response

Figura 18: File correttamente presente nella Library

Ora siete pronti per eseguire lo script, dovrete farlo dalla sessione di Live Reponse con questo comando run nomescrpit.ps1 nel mio caso run unistallationTeamViewer.ps1

Figura 19: Esecuzione comando per eseguire lo script Powershell

Figura 20: Script eseguito e generato Transcript

Ora recatevi all’interno del dispositivo, nel mio caso in RDP all’interno della macchina “UserLaptop”, andiamo a verificare se la disinstallazione dell’applicativo Team Viewer risulta eseguita:

Figura 21: Team Viewer non più presente all’interno del dispositivo

Ora se lo script non è più necessario potete procedere all’eliminazione dello stesso dalla library

Figura 22: Comando per rimuovere lo script caricato

Figura 23: Script rimosso in modo corretto

Conclusioni

Con questa funzionalità, se i dispositivi non sono gestiti da Microsoft Intune, gli analisti di sicurezza se rilevano un’installazione anomala all’interno di un dispositivo possono procedere alla disinstallazione della stessa senza dover aver accesso alla postazione dell’utente.

Una funzionalità che può aiutarvi a risparmiare diverso tempo e vi permette inoltre di rispondere in modo semplice, veloce ed efficace a installazione di programmi anomali.

Considerate inoltre che lo script viene caricato all’interno della Library e può essere utilizzato, senza doverlo ricaricare, su tutti i dispositivi che ne hanno necessità fino all’eliminazione di parte di un amministratore.