Windows Update può essere utilizzato in modo scorretto per eseguire programmi dannosi
Il client Windows Update è stato appena aggiunto all'elenco dei file binari viventi (LoLBins) che gli aggressori possono utilizzare per eseguire codice dannoso sui sistemi Windows. Caricato in questo modo, il codice dannoso può aggirare il meccanismo di protezione del sistema.
Se non hai familiarità con LoLBins, questi sono file eseguibili firmati da Microsoft scaricati o in bundle con il Sistema operativo che può essere utilizzato da una terza parte per eludere il rilevamento durante il download, l'installazione o l'esecuzione di malware codice. Il client Windows Update (wuauclt) sembra essere uno di questi.
Lo strumento si trova in %windir%\system32\wuauclt.exe ed è progettato per controllare Windows Update (alcune delle sue funzionalità) dalla riga di comando.
ricercatore MDsec David Middlehurst scoperto che wuauclt può anche essere utilizzato dagli aggressori per eseguire codice dannoso sui sistemi Windows 10 caricandolo da una DLL arbitraria appositamente predisposta con le seguenti opzioni della riga di comando:
wuauclt.exe /UpdateDeploymentProvider [percorso_della_dll] /RunHandlerComServerLa parte Full_Path_To_DLL è il percorso assoluto al file DLL appositamente predisposto dell'attaccante che eseguirà il codice al collegamento. Essendo eseguito dal client Windows Update, consente agli aggressori di aggirare l'antivirus, il controllo delle applicazioni e la protezione della convalida del certificato digitale. La cosa peggiore è che Middlehurst ha anche trovato un campione usandolo in natura.
Vale la pena notare che in precedenza è stato scoperto che Microsoft Defender includeva la possibilità di scarica qualsiasi file da Internet e aggirare i controlli di sicurezza. Fortunatamente, a partire da Windows Defender Antimalware Client versione 4.18.2009.2-0 Microsoft ha rimosso l'opzione appropriata dall'app e non può più essere utilizzata per download di file silenziosi.
Fonte: Computer che suona
