दुर्भावनापूर्ण प्रोग्रामों को निष्पादित करने के लिए विंडोज अपडेट का उपयोग खराब तरीके से किया जा सकता है
विंडोज अपडेट क्लाइंट को अभी-अभी लिविंग-ऑफ-द-लैंड बायनेरिज़ (LoLBins) हमलावरों की सूची में जोड़ा गया है जो विंडोज सिस्टम पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए उपयोग कर सकते हैं। इस तरह से लोड किया गया, हानिकारक कोड सिस्टम सुरक्षा तंत्र को बायपास कर सकता है।
यदि आप LoLBins से परिचित नहीं हैं, तो वे Microsoft-हस्ताक्षरित निष्पादन योग्य फ़ाइलें हैं जिन्हें डाउनलोड या बंडल किया जाता है ओएस जिसे दुर्भावनापूर्ण डाउनलोड, इंस्टॉल या निष्पादित करते समय पता लगाने से बचने के लिए किसी तृतीय-पक्ष का उपयोग किया जा सकता है कोड। Windows अद्यतन क्लाइंट (wuauclt) उनमें से एक प्रतीत होता है।
यह टूल %windir%\system32\wuauclt.exe के अंतर्गत स्थित है, और कमांड लाइन से विंडोज अपडेट (इसकी कुछ विशेषताओं) को नियंत्रित करने के लिए डिज़ाइन किया गया है।
एमडीसेक शोधकर्ता डेविड मिडलहर्स्ट की खोज की कि wuauclt का उपयोग हमलावरों द्वारा विंडोज 10 सिस्टम पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए निम्न कमांड-लाइन विकल्पों के साथ विशेष रूप से तैयार किए गए DLL से लोड करके किया जा सकता है:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerFull_Path_To_DLL भाग हमलावर की विशेष रूप से तैयार की गई DLL फ़ाइल का पूर्ण पथ है जो अटैचमेंट पर कोड निष्पादित करेगा। विंडोज अपडेट क्लाइंट द्वारा चलने के कारण, यह हमलावरों को एंटी-वायरस, एप्लिकेशन कंट्रोल और डिजिटल सर्टिफिकेट वेलिडेशन प्रोटेक्शन को बायपास करने में सक्षम बनाता है। सबसे बुरी बात यह है कि मिडलहर्स्ट ने जंगली में इसका इस्तेमाल करते हुए एक नमूना भी पाया।
यह ध्यान देने योग्य है कि पहले यह पता चला था कि माइक्रोसॉफ्ट डिफेंडर में क्षमता शामिल है इंटरनेट से कोई भी फाइल डाउनलोड करें और सुरक्षा जांच को बायपास करें। सौभाग्य से, विंडोज डिफेंडर एंटीमैलवेयर क्लाइंट संस्करण 4.18.2009.2-0 से शुरू होकर माइक्रोसॉफ्ट ने ऐप से उपयुक्त विकल्प को हटा दिया है, और इसे अब शांत फ़ाइल डाउनलोड के लिए उपयोग नहीं किया जा सकता है।
स्रोत: ब्लीपिंग कंप्यूटर
