Windows Updatea voidaan käyttää huonolla tavalla haittaohjelmien suorittamiseen
Windows Update -asiakasohjelma on juuri lisätty niiden binäärien (LoLBins) luetteloon, joita hyökkääjät voivat käyttää haitallisen koodin suorittamiseen Windows-järjestelmissä. Tällä tavalla ladattu haitallinen koodi voi ohittaa järjestelmän suojausmekanismin.
Jos LoLBins ei ole sinulle tuttu, ne ovat Microsoftin allekirjoittamia suoritettavia tiedostoja, jotka on ladattu tai mukana Käyttöjärjestelmä, jota voidaan käyttää kolmannen osapuolen avulla välttyäkseen havaitsemiselta haitallisten ohjelmien lataamisen, asennuksen tai suorittamisen aikana koodi. Windows Update -asiakas (wuauclt) näyttää olevan yksi niistä.
Työkalu sijaitsee hakemistossa %windir%\system32\wuauclt.exe, ja se on suunniteltu ohjaamaan Windows Updatea (joitakin sen ominaisuuksia) komentoriviltä.
MDSec-tutkija David Middlehurst löysi että hyökkääjät voivat käyttää wuaucltia myös haitallisen koodin suorittamiseen Windows 10 -järjestelmissä lataamalla se mielivaltaisesta erityisesti laaditusta DLL: stä seuraavilla komentorivivaihtoehdoilla:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerFull_Path_To_DLL-osio on absoluuttinen polku hyökkääjän erityisesti luomaan DLL-tiedostoon, joka suorittaa koodin liitteenä. Koska Windows Update -asiakasohjelma käyttää sitä, hyökkääjät voivat ohittaa virustentorjunnan, sovellusten hallinnan ja digitaalisen varmenteen vahvistussuojauksen. Pahinta on, että Middlehurst löysi myös sitä käyttävän näytteen luonnosta.
On syytä huomata, että aiemmin havaittiin, että Microsoft Defender sisälsi mahdollisuuden lataa mikä tahansa tiedosto Internetistä ja ohittaa turvatarkastukset. Onneksi Windows Defender Antimalware Client -ohjelman versiosta 4.18.2009.2-0 alkaen Microsoft on poistanut sopivan vaihtoehdon sovelluksesta, eikä sitä voi enää käyttää tiedostojen hiljaiseen lataamiseen.
Lähde: Piikuva tietokone
