Windows Tips & News

Windows Update peut être mal utilisé pour exécuter des programmes malveillants

click fraud protection

Le client Windows Update vient d'être ajouté à la liste des fichiers binaires vivants hors de la terre (LoLBins) que les attaquants peuvent utiliser pour exécuter du code malveillant sur les systèmes Windows. Chargé de cette manière, le code nuisible peut contourner le mécanisme de protection du système.

Si vous n'êtes pas familier avec LoLBins, ce sont des fichiers exécutables signés par Microsoft téléchargés ou fournis avec le Système d'exploitation pouvant être utilisé par un tiers pour échapper à la détection lors du téléchargement, de l'installation ou de l'exécution de programmes malveillants code. Le client Windows Update (wuauclt) semble être l'un d'entre eux.

L'outil se trouve sous %windir%\system32\wuauclt.exe et est conçu pour contrôler Windows Update (certaines de ses fonctionnalités) à partir de la ligne de commande.

Chercheur MDSec David Middlehurst a découvert que wuauclt peut également être utilisé par des attaquants pour exécuter du code malveillant sur les systèmes Windows 10 en le chargeant à partir d'une DLL arbitraire spécialement conçue avec les options de ligne de commande suivantes :

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

La partie Full_Path_To_DLL est le chemin absolu vers le fichier DLL spécialement conçu de l'attaquant qui exécuterait le code lors de l'attachement. Exécuté par le client Windows Update, il permet aux attaquants de contourner la protection antivirus, le contrôle des applications et la validation des certificats numériques. Le pire, c'est que Middlehurst a également trouvé un échantillon en l'utilisant dans la nature.

Il convient de noter qu'il a été découvert plus tôt que Microsoft Defender incluait la possibilité de télécharger n'importe quel fichier sur Internet et contourner les contrôles de sécurité. Heureusement, à partir de Windows Defender Antimalware Client version 4.18.2009.2-0, Microsoft a supprimé l'option appropriée de l'application, et elle ne peut plus être utilisée pour les téléchargements de fichiers silencieux.

La source: Ordinateur qui bipe

Télécharger Télécharger Steam_UI Skin pour Winamp

Ce site Web utilise des cookies pour améliorer votre expérience lorsque vous naviguez sur le site...

Lire la suite

Taras Buria, auteur chez Winaero

Les développeurs de Microsoft Office Online sont de retour avec une autre mise à jour pour la sui...

Lire la suite

Taras Buria, auteur chez Winaero

Parallels, la société à l'origine d'un service de virtualisation populaire, Parallels Desktop, a ...

Lire la suite