Windows Tips & News

Windows Update peut être mal utilisé pour exécuter des programmes malveillants

click fraud protection

Le client Windows Update vient d'être ajouté à la liste des fichiers binaires vivants hors de la terre (LoLBins) que les attaquants peuvent utiliser pour exécuter du code malveillant sur les systèmes Windows. Chargé de cette manière, le code nuisible peut contourner le mécanisme de protection du système.

Si vous n'êtes pas familier avec LoLBins, ce sont des fichiers exécutables signés par Microsoft téléchargés ou fournis avec le Système d'exploitation pouvant être utilisé par un tiers pour échapper à la détection lors du téléchargement, de l'installation ou de l'exécution de programmes malveillants code. Le client Windows Update (wuauclt) semble être l'un d'entre eux.

L'outil se trouve sous %windir%\system32\wuauclt.exe et est conçu pour contrôler Windows Update (certaines de ses fonctionnalités) à partir de la ligne de commande.

Chercheur MDSec David Middlehurst a découvert que wuauclt peut également être utilisé par des attaquants pour exécuter du code malveillant sur les systèmes Windows 10 en le chargeant à partir d'une DLL arbitraire spécialement conçue avec les options de ligne de commande suivantes :

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

La partie Full_Path_To_DLL est le chemin absolu vers le fichier DLL spécialement conçu de l'attaquant qui exécuterait le code lors de l'attachement. Exécuté par le client Windows Update, il permet aux attaquants de contourner la protection antivirus, le contrôle des applications et la validation des certificats numériques. Le pire, c'est que Middlehurst a également trouvé un échantillon en l'utilisant dans la nature.

Il convient de noter qu'il a été découvert plus tôt que Microsoft Defender incluait la possibilité de télécharger n'importe quel fichier sur Internet et contourner les contrôles de sécurité. Heureusement, à partir de Windows Defender Antimalware Client version 4.18.2009.2-0, Microsoft a supprimé l'option appropriée de l'application, et elle ne peut plus être utilisée pour les téléchargements de fichiers silencieux.

La source: Ordinateur qui bipe

Telegram 1.0.2 a une liste de contacts basée sur des icônes

Telegram 1.0.2 a une liste de contacts basée sur des icônes

CONSEILLÉ: Cliquez ici pour résoudre les problèmes de Windows et optimiser les performances du sy...

Lire la suite

Désactivez le message Avant de continuer sur YouTube

Désactivez le message Avant de continuer sur YouTube

CONSEILLÉ: Cliquez ici pour résoudre les problèmes de Windows et optimiser les performances du sy...

Lire la suite

Quoi de neuf dans Windows 10 Version 2004 (20H1)

Quoi de neuf dans Windows 10 Version 2004 (20H1)

CONSEILLÉ: Cliquez ici pour résoudre les problèmes de Windows et optimiser les performances du sy...

Lire la suite