Windows Update peut être mal utilisé pour exécuter des programmes malveillants
Le client Windows Update vient d'être ajouté à la liste des fichiers binaires vivants hors de la terre (LoLBins) que les attaquants peuvent utiliser pour exécuter du code malveillant sur les systèmes Windows. Chargé de cette manière, le code nuisible peut contourner le mécanisme de protection du système.
Si vous n'êtes pas familier avec LoLBins, ce sont des fichiers exécutables signés par Microsoft téléchargés ou fournis avec le Système d'exploitation pouvant être utilisé par un tiers pour échapper à la détection lors du téléchargement, de l'installation ou de l'exécution de programmes malveillants code. Le client Windows Update (wuauclt) semble être l'un d'entre eux.
L'outil se trouve sous %windir%\system32\wuauclt.exe et est conçu pour contrôler Windows Update (certaines de ses fonctionnalités) à partir de la ligne de commande.
Chercheur MDSec David Middlehurst a découvert que wuauclt peut également être utilisé par des attaquants pour exécuter du code malveillant sur les systèmes Windows 10 en le chargeant à partir d'une DLL arbitraire spécialement conçue avec les options de ligne de commande suivantes :
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
La partie Full_Path_To_DLL est le chemin absolu vers le fichier DLL spécialement conçu de l'attaquant qui exécuterait le code lors de l'attachement. Exécuté par le client Windows Update, il permet aux attaquants de contourner la protection antivirus, le contrôle des applications et la validation des certificats numériques. Le pire, c'est que Middlehurst a également trouvé un échantillon en l'utilisant dans la nature.
Il convient de noter qu'il a été découvert plus tôt que Microsoft Defender incluait la possibilité de télécharger n'importe quel fichier sur Internet et contourner les contrôles de sécurité. Heureusement, à partir de Windows Defender Antimalware Client version 4.18.2009.2-0, Microsoft a supprimé l'option appropriée de l'application, et elle ne peut plus être utilisée pour les téléchargements de fichiers silencieux.
La source: Ordinateur qui bipe