ניתן להשתמש ב-Windows Update בצורה גרועה כדי להפעיל תוכניות זדוניות

לקוח Windows Update התווסף זה עתה לרשימת התוקפים הבינאריים החיים מחוץ לאדמה (LoLBins) שיכולים להשתמש בהם כדי להפעיל קוד זדוני במערכות Windows. נטען בצורה זו, הקוד המזיק יכול לעקוף את מנגנון ההגנה של המערכת.

אם אינך מכיר את LoLBins, אלו הם קבצי הפעלה החתומים על ידי מיקרוסופט להורדה או ארוזות עם מערכת הפעלה שיכולה לשמש צד שלישי כדי להתחמק מזיהוי בזמן הורדה, התקנה או ביצוע זדוני קוד. נראה כי לקוח Windows Update (wuauclt) הוא אחד מהם.

הכלי ממוקם תחת %windir%\system32\wuauclt.exe, ונועד לשלוט ב-Windows Update (חלק מהתכונות שלו) משורת הפקודה.

חוקר MDSec גילה דיוויד מידלהרסט ש-wuauclt יכול לשמש גם תוקפים לביצוע קוד זדוני במערכות Windows 10 על ידי טעינתו מ-DLL שרירותי בעל מבנה מיוחד עם אפשרויות שורת הפקודה הבאות:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

החלק Full_Path_To_DLL הוא הנתיב המוחלט לקובץ ה-DLL בעל המבנה המיוחד של התוקף שיפעיל קוד בצירוף. כשהוא פועל על ידי לקוח Windows Update, הוא מאפשר לתוקפים לעקוף אנטי-וירוס, בקרת יישומים והגנה על אימות תעודות דיגיטליות. הדבר הגרוע ביותר הוא שמידלהרסט מצאה גם דגימה באמצעותה בטבע.

ראוי לציין כי קודם לכן התגלה כי Microsoft Defender כללה את היכולת להוריד כל קובץ מהאינטרנט ולעקוף את הבדיקות הביטחוניות. למרבה המזל, החל מ-Windows Defender Antimalware Client גרסה 4.18.2009.2-0 מיקרוסופט הסירה את האפשרות המתאימה מהאפליקציה, ולא ניתן עוד להשתמש בה להורדות שקטות של קבצים.

מָקוֹר: מחשב מצמרר