Windows Update'i saab pahatahtlike programmide käivitamiseks halvasti kasutada
Windows Update'i klient lisati äsja elavate kahendfailide (LoLBins) loendisse, mida ründajad saavad kasutada Windowsi süsteemides pahatahtliku koodi käivitamiseks. Sel viisil laadituna võib kahjulik kood süsteemi kaitsemehhanismist mööda minna.
Kui te pole LoLBinidega tuttav, on need Microsofti allkirjastatud käivitatavad failid, mis laaditakse alla või on komplektis OS, mida saab kasutada kolmas osapool pahatahtliku allalaadimise, installimise või käivitamise ajal tuvastamisest kõrvalehoidmiseks kood. Windows Update'i klient (wuauclt) näib olevat üks neist.
Tööriist asub failis %windir%\system32\wuauclt.exe ja on mõeldud Windows Update'i (mõned selle funktsioonid) juhtimiseks käsurealt.
MDSec teadlane David Middlehurst avastas et wuauclt saavad ründajad kasutada ka pahatahtliku koodi käivitamiseks Windows 10 süsteemides, laadides selle suvalisest spetsiaalselt koostatud DLL-ist järgmiste käsureavalikutega:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerOsa Full_Path_To_DLL on absoluutne tee ründaja spetsiaalselt koostatud DLL-faili, mis käivitaks manusena koodi. Kuna seda töötab Windows Update'i klient, võimaldab see ründajatel viirusetõrjest, rakenduste juhtimisest ja digitaalse sertifikaadi valideerimise kaitsest mööda minna. Kõige hullem on see, et Middlehurst leidis seda kasutava proovi ka loodusest.
Väärib märkimist, et varem avastati, et Microsoft Defender sisaldas võimalust laadige Internetist alla mis tahes fail ja turvakontrollist mööda minna. Õnneks on Microsoft alates Windows Defenderi pahavaratõrje kliendi versioonist 4.18.2009.2-0 eemaldanud rakendusest sobiva suvandi ja seda ei saa enam failide vaikseks allalaadimiseks kasutada.
Allikas: Piiksuv arvuti
