يمكن استخدام Windows Update بطريقة سيئة لتنفيذ البرامج الضارة

تمت إضافة عميل Windows Update للتو إلى قائمة الثنائيات التي تعيش خارج الأرض (LoLBins) التي يمكن للمهاجمين استخدامها لتنفيذ تعليمات برمجية ضارة على أنظمة Windows. بهذه الطريقة ، يمكن للرمز الضار تجاوز آلية حماية النظام.

إذا لم تكن معتادًا على LoLBins ، فهذه ملفات قابلة للتنفيذ موقعة من Microsoft يتم تنزيلها أو مجمعة مع ملف نظام تشغيل يمكن استخدامه من قبل جهة خارجية لتجنب الاكتشاف أثناء تنزيل البرامج الضارة أو تثبيتها أو تنفيذها الشفرة. يبدو أن عميل Windows Update (wuauclt) واحد منهم.

الأداة موجودة ضمن٪ windir٪ \ system32 \ wuauclt.exe ، وهي مصممة للتحكم في Windows Update (بعض ميزاته) من سطر الأوامر.

باحث MDSec اكتشف ديفيد ميدلهيرست يمكن للمهاجمين أيضًا استخدام wuauclt لتنفيذ تعليمات برمجية ضارة على أنظمة Windows 10 عن طريق تحميلها من ملف DLL تم إنشاؤه خصيصًا باستخدام خيارات سطر الأوامر التالية:

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

الجزء Full_Path_To_DLL هو المسار المطلق لملف DLL المصمم خصيصًا للمهاجم والذي سينفذ التعليمات البرمجية عند الإرفاق. نظرًا لكونه قيد التشغيل بواسطة عميل Windows Update ، فإنه يمكّن المهاجمين من تجاوز مكافحة الفيروسات والتحكم في التطبيقات وحماية التحقق من صحة الشهادات الرقمية. أسوأ شيء هو أن ميدلهيرست عثر أيضًا على عينة تستخدمها في البرية.

ومن الجدير بالذكر أنه تم اكتشاف في وقت سابق أن برنامج Microsoft Defender يتضمن القدرة على قم بتنزيل أي ملف من الإنترنت وتجاوز الفحوصات الأمنية. لحسن الحظ ، بدءًا من الإصدار 4.18.2009.2-0 من Windows Defender Antimalware Client ، قامت Microsoft بإزالة الخيار المناسب من التطبيق ، ولم يعد من الممكن استخدامه لتنزيل الملفات الهادئة.

مصدر: كمبيوتر نائم