Windows Update kann auf schlechte Weise verwendet werden, um bösartige Programme auszuführen
Der Windows Update-Client wurde gerade in die Liste der Live-Off-the-Land-Binärdateien (LoLBins) aufgenommen, mit denen Angreifer bösartigen Code auf Windows-Systemen ausführen können. Auf diese Weise geladen, kann der schädliche Code den Systemschutzmechanismus umgehen.
Wenn Sie mit LoLBins nicht vertraut sind, handelt es sich um von Microsoft signierte ausführbare Dateien, die heruntergeladen oder mit dem gebündelt werden Betriebssystem, das von einem Drittanbieter verwendet werden kann, um die Erkennung beim Herunterladen, Installieren oder Ausführen bösartiger Dateien zu umgehen Code. Der Windows Update-Client (wuauclt) scheint einer davon zu sein.
Das Tool befindet sich unter %windir%\system32\wuauclt.exe und wurde entwickelt, um Windows Update (einige seiner Funktionen) über die Befehlszeile zu steuern.
MDsec-Forscher David Middlehurst entdeckt dass wuauclt auch von Angreifern verwendet werden kann, um Schadcode auf Windows 10-Systemen auszuführen, indem dieser aus einer beliebigen speziell gestalteten DLL mit den folgenden Befehlszeilenoptionen geladen wird:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerDer Teil Full_Path_To_DLL ist der absolute Pfad zur speziell gestalteten DLL-Datei des Angreifers, die beim Anhängen Code ausführen würde. Da es vom Windows Update-Client ausgeführt wird, können Angreifer den Virenschutz, die Anwendungssteuerung und den Validierungsschutz für digitale Zertifikate umgehen. Das Schlimmste ist, dass Middlehurst auch eine Probe in freier Wildbahn gefunden hat.
Es ist erwähnenswert, dass zuvor entdeckt wurde, dass Microsoft Defender die Fähigkeit enthält, Laden Sie eine beliebige Datei aus dem Internet herunter und die Sicherheitskontrollen umgehen. Glücklicherweise hat Microsoft ab Windows Defender Antimalware Client Version 4.18.2009.2-0 die entsprechende Option aus der App entfernt und kann nicht mehr für stille Dateidownloads verwendet werden.
Quelle: Piepsender Computer
