Pembaruan Windows dapat digunakan dengan cara yang buruk untuk menjalankan program jahat
Klien Pembaruan Windows baru saja ditambahkan ke daftar penyerang binari hidup-off-the-land (LoLBins) yang dapat digunakan untuk mengeksekusi kode berbahaya pada sistem Windows. Dimuat dengan cara ini, kode berbahaya dapat melewati mekanisme perlindungan sistem.
Jika Anda tidak terbiasa dengan LoLBins, itu adalah file yang dapat dieksekusi yang ditandatangani oleh Microsoft yang diunduh atau dibundel dengan OS yang dapat digunakan pihak ketiga untuk menghindari deteksi saat mengunduh, menginstal, atau menjalankan program jahat kode. Klien Pembaruan Windows (wuauclt) tampaknya salah satunya.
Alat ini terletak di bawah %windir%\system32\wuauclt.exe, dan dirancang untuk mengontrol Pembaruan Windows (beberapa fiturnya) dari baris perintah.
peneliti MDSec David Middlehurst ditemukan bahwa wuauclt juga dapat digunakan oleh penyerang untuk mengeksekusi kode berbahaya pada sistem Windows 10 dengan memuatnya dari DLL yang dibuat secara khusus dengan opsi baris perintah berikut:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Bagian Full_Path_To_DLL adalah jalur absolut ke file DLL yang dibuat khusus oleh penyerang yang akan mengeksekusi kode saat dilampirkan. Dijalankan oleh klien Pembaruan Windows, ini memungkinkan penyerang untuk melewati anti-virus, kontrol aplikasi, dan perlindungan validasi sertifikat digital. Yang terburuk adalah Middlehurst juga menemukan sampel yang menggunakannya di alam liar.
Perlu dicatat bahwa sebelumnya ditemukan bahwa Microsoft Defender menyertakan kemampuan untuk unduh file apa pun dari Internet dan melewati pemeriksaan keamanan. Untungnya, mulai dari Windows Defender Antimalware Client versi 4.18.2009.2-0 Microsoft telah menghapus opsi yang sesuai dari aplikasi, dan opsi tersebut tidak lagi dapat digunakan untuk mengunduh file secara diam-diam.
Sumber: Komputer Bleeping