दुर्भावनापूर्ण प्रोग्रामों को निष्पादित करने के लिए विंडोज अपडेट का उपयोग खराब तरीके से किया जा सकता है

विंडोज अपडेट क्लाइंट को अभी-अभी लिविंग-ऑफ-द-लैंड बायनेरिज़ (LoLBins) हमलावरों की सूची में जोड़ा गया है जो विंडोज सिस्टम पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए उपयोग कर सकते हैं। इस तरह से लोड किया गया, हानिकारक कोड सिस्टम सुरक्षा तंत्र को बायपास कर सकता है।

यदि आप LoLBins से परिचित नहीं हैं, तो वे Microsoft-हस्ताक्षरित निष्पादन योग्य फ़ाइलें हैं जिन्हें डाउनलोड या बंडल किया जाता है ओएस जिसे दुर्भावनापूर्ण डाउनलोड, इंस्टॉल या निष्पादित करते समय पता लगाने से बचने के लिए किसी तृतीय-पक्ष का उपयोग किया जा सकता है कोड। Windows अद्यतन क्लाइंट (wuauclt) उनमें से एक प्रतीत होता है।

यह टूल %windir%\system32\wuauclt.exe के अंतर्गत स्थित है, और कमांड लाइन से विंडोज अपडेट (इसकी कुछ विशेषताओं) को नियंत्रित करने के लिए डिज़ाइन किया गया है।

एमडीसेक शोधकर्ता डेविड मिडलहर्स्ट की खोज की कि wuauclt का उपयोग हमलावरों द्वारा विंडोज 10 सिस्टम पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए निम्न कमांड-लाइन विकल्पों के साथ विशेष रूप से तैयार किए गए DLL से लोड करके किया जा सकता है:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Full_Path_To_DLL भाग हमलावर की विशेष रूप से तैयार की गई DLL फ़ाइल का पूर्ण पथ है जो अटैचमेंट पर कोड निष्पादित करेगा। विंडोज अपडेट क्लाइंट द्वारा चलने के कारण, यह हमलावरों को एंटी-वायरस, एप्लिकेशन कंट्रोल और डिजिटल सर्टिफिकेट वेलिडेशन प्रोटेक्शन को बायपास करने में सक्षम बनाता है। सबसे बुरी बात यह है कि मिडलहर्स्ट ने जंगली में इसका इस्तेमाल करते हुए एक नमूना भी पाया।

यह ध्यान देने योग्य है कि पहले यह पता चला था कि माइक्रोसॉफ्ट डिफेंडर में क्षमता शामिल है इंटरनेट से कोई भी फाइल डाउनलोड करें और सुरक्षा जांच को बायपास करें। सौभाग्य से, विंडोज डिफेंडर एंटीमैलवेयर क्लाइंट संस्करण 4.18.2009.2-0 से शुरू होकर माइक्रोसॉफ्ट ने ऐप से उपयुक्त विकल्प को हटा दिया है, और इसे अब शांत फ़ाइल डाउनलोड के लिए उपयोग नहीं किया जा सकता है।

स्रोत: ब्लीपिंग कंप्यूटर