Windows Update може да се използва по лош начин за изпълнение на злонамерени програми
Клиентът за Windows Update току-що беше добавен към списъка с бинарни файлове, живеещи извън земята (LoLBins), които нападателите могат да използват за изпълнение на злонамерен код в Windows системи. Зареден по този начин, вредният код може да заобиколи механизма за защита на системата.
Ако не сте запознати с LoLBins, това са подписани от Microsoft изпълними файлове за изтегляне или в комплект с ОС, която може да се използва от трета страна, за да избегне откриването, докато изтегля, инсталира или изпълнява злонамерено код. Клиентът на Windows Update (wuauclt) изглежда е един от тях.
Инструментът се намира под %windir%\system32\wuauclt.exe и е предназначен да контролира Windows Update (някои от неговите функции) от командния ред.
Изследовател на MDSec Дейвид Мидълхърст открива че wuauclt може да се използва и от нападателите за изпълнение на злонамерен код в системи с Windows 10, като го зареди от произволен, специално изработен DLL със следните опции на командния ред:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerЧастта Full_Path_To_DLL е абсолютният път към специално изработения DLL файл на нападателя, който ще изпълни код при прикачен файл. Работейки от клиента на Windows Update, той позволява на нападателите да заобикалят антивирусната защита, контрола на приложенията и защитата за валидиране на цифров сертификат. Най-лошото е, че Мидълхърст също намери проба, използвайки го в дивата природа.
Струва си да се отбележи, че по-рано беше открито, че Microsoft Defender включва възможността за изтеглете всеки файл от интернет и заобикаля проверките за сигурност. За щастие, стартирайки в Windows Defender Antimalware Client версия 4.18.2009.2-0, Microsoft премахна съответната опция от приложението и тя вече не може да се използва за тихо изтегляне на файлове.
Източник: Компютър за кървене
