Služba Windows Update může být zneužita ke spouštění škodlivých programů

Klient služby Windows Update byl právě přidán na seznam binárních souborů žijících mimo území (LoLBins), které mohou útočníci používat ke spouštění škodlivého kódu v systémech Windows. Takto načtený škodlivý kód může obejít mechanismus ochrany systému.

Pokud neznáte LoLBins, jedná se o stažené spustitelné soubory podepsané společností Microsoft nebo dodávané s OS, který lze použít třetí stranou k vyhnutí se detekci při stahování, instalaci nebo spouštění škodlivých kód. Klient Windows Update (wuauclt) se zdá být jedním z nich.

Nástroj se nachází pod %windir%\system32\wuauclt.exe a je určen k ovládání služby Windows Update (některé její funkce) z příkazového řádku.

Výzkumník MDSec objevil David Middlehurst že wuauclt mohou útočníci také použít ke spuštění škodlivého kódu v systémech Windows 10 jeho načtením z libovolné speciálně vytvořené knihovny DLL s následujícími možnostmi příkazového řádku:

wuauclt.exe /UpdateDeploymentProvider [cesta_k_dll] /RunHandlerComServer

Část Full_Path_To_DLL je absolutní cesta k útočníkovu speciálně vytvořenému souboru DLL, který by spustil kód při připojení. Díky tomu, že je spuštěn klientem Windows Update, umožňuje útočníkům obejít antivirovou ochranu, kontrolu aplikací a ověřování digitálních certifikátů. Nejhorší je, že Middlehurst také našel vzorek, který jej používal ve volné přírodě.

Stojí za zmínku, že dříve bylo zjištěno, že Microsoft Defender tuto možnost zahrnuje stáhnout libovolný soubor z internetu a obejít bezpečnostní kontroly. Naštěstí počínaje klientem Windows Defender Antimalware Client verze 4.18.2009.2-0 společnost Microsoft z aplikace příslušnou možnost odstranila a již ji nelze používat pro tiché stahování souborů.

Zdroj: Pípavý počítač