Windows Update može se koristiti na loš način za izvršavanje zlonamjernih programa
Klijent Windows Update upravo je dodan na popis binarnih datoteka koje žive izvan zemlje (LoLBins) koje napadači mogu koristiti za izvršavanje zlonamjernog koda na Windows sustavima. Učitan na ovaj način, štetni kod može zaobići mehanizam zaštite sustava.
Ako niste upoznati s LoLBins-om, to su izvršne datoteke koje potpisuje Microsoft za preuzimanje ili u paketu s OS koji se može koristiti treće strane za izbjegavanje otkrivanja tijekom preuzimanja, instaliranja ili izvršavanja zlonamjernog kodirati. Čini se da je klijent Windows Update (wuauclt) jedan od njih.
Alat se nalazi pod %windir%\system32\wuauclt.exe i dizajniran je za kontrolu Windows Update (neke njegove značajke) iz naredbenog retka.
MDSec istraživač otkrio je David Middlehurst taj wuauclt također mogu koristiti napadači za izvršavanje zlonamjernog koda na sustavima Windows 10 učitavanjem iz proizvoljnog posebno izrađenog DLL-a sa sljedećim opcijama naredbenog retka:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerDio Full_Path_To_DLL je apsolutni put do napadačeve posebno izrađene DLL datoteke koja bi izvršila kod na privitku. Budući da ga pokreće Windows Update klijent, napadačima omogućuje da zaobiđu antivirusnu zaštitu, kontrolu aplikacija i zaštitu provjere valjanosti digitalnih certifikata. Najgore je što je Middlehurst također pronašao uzorak koristeći ga u divljini.
Vrijedi napomenuti da je ranije otkriveno da je Microsoft Defender uključio mogućnost da preuzmite bilo koju datoteku s interneta i zaobići sigurnosne provjere. Srećom, počevši od Windows Defender Antimalware Client verzije 4.18.2009.2-0 Microsoft je uklonio odgovarajuću opciju iz aplikacije i više se ne može koristiti za tiha preuzimanja datoteka.
Izvor: Bleeping Računalo
