Το Windows Update μπορεί να χρησιμοποιηθεί με κακό τρόπο για την εκτέλεση κακόβουλων προγραμμάτων
Το πρόγραμμα-πελάτης του Windows Update μόλις προστέθηκε στη λίστα των ζωντανών δυαδικών αρχείων (LoLBins) που μπορούν να χρησιμοποιήσουν οι εισβολείς για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows. Φορτωμένο με αυτόν τον τρόπο, ο επιβλαβής κώδικας μπορεί να παρακάμψει τον μηχανισμό προστασίας του συστήματος.
Εάν δεν είστε εξοικειωμένοι με τα LoLBins, αυτά είναι υπογεγραμμένα από τη Microsoft εκτελέσιμα αρχεία που λαμβάνονται ή συνοδεύονται από ΛΣ που μπορεί να χρησιμοποιηθεί από τρίτο μέρος για να αποφύγει τον εντοπισμό κατά τη λήψη, εγκατάσταση ή εκτέλεση κακόβουλων κώδικας. Το πρόγραμμα-πελάτης του Windows Update (wuauclt) φαίνεται να είναι ένα από αυτά.
Το εργαλείο βρίσκεται στο %windir%\system32\wuauclt.exe και έχει σχεδιαστεί για να ελέγχει το Windows Update (ορισμένες από τις δυνατότητες του) από τη γραμμή εντολών.
Ερευνητής MDSec ανακάλυψε ο David Middlehurst ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί από εισβολείς για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows 10 φορτώνοντάς τον από ένα αυθαίρετο ειδικά διαμορφωμένο DLL με τις ακόλουθες επιλογές γραμμής εντολών:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerΤο τμήμα Full_Path_To_DLL είναι η απόλυτη διαδρομή προς το ειδικά δημιουργημένο αρχείο DLL του εισβολέα που θα εκτελούσε τον κώδικα κατά την επισύναψη. Εφόσον εκτελείται από το πρόγραμμα-πελάτη του Windows Update, επιτρέπει στους εισβολείς να παρακάμπτουν προστασία προστασίας από ιούς, έλεγχο εφαρμογών και επικύρωση ψηφιακού πιστοποιητικού. Το χειρότερο είναι ότι ο Middlehurst βρήκε επίσης ένα δείγμα χρησιμοποιώντας το στη φύση.
Αξίζει να σημειωθεί ότι νωρίτερα είχε ανακαλυφθεί ότι το Microsoft Defender περιλάμβανε τη δυνατότητα να κατεβάστε οποιοδήποτε αρχείο από το Διαδίκτυο και να παρακάμψετε τους ελέγχους ασφαλείας. Ευτυχώς, ξεκινώντας από το Windows Defender Antimalware Client έκδοση 4.18.2009.2-0, η Microsoft έχει αφαιρέσει την κατάλληλη επιλογή από την εφαρμογή και δεν μπορεί πλέον να χρησιμοποιηθεί για αθόρυβη λήψη αρχείων.
Πηγή: Υπολογιστής Bleeping
