Windows Updateは、悪意のあるプログラムを実行するために悪用される可能性があります

Windows Updateクライアントは、攻撃者がWindowsシステムで悪意のあるコードを実行するために使用できる生きているバイナリ（LoLBins）のリストに追加されました。 このようにロードされると、有害なコードがシステム保護メカニズムをバイパスする可能性があります。

LoLBinsに精通していない場合は、Microsoftが署名した実行可能ファイルをダウンロードするか、にバンドルされています。 悪意のあるものをダウンロード、インストール、または実行する際の検出を回避するためにサードパーティを使用できるOS コード。 Windows Updateクライアント（wuauclt）はその1つであるように見えます。

このツールは％windir％\ system32 \ wuauclt.exeの下にあり、コマンドラインからWindows Update（その機能の一部）を制御するように設計されています。

MDSec研究者 デビッドミドルハーストが発見 このwuaucltは、攻撃者がWindows 10システムで悪意のあるコードを実行するために、次のコマンドラインオプションを使用して特別に細工した任意のDLLからロードすることによっても使用される可能性があります。

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

Full_Path_To_DLL部分は、アタッチ時にコードを実行する、攻撃者の特別に細工されたDLLファイルへの絶対パスです。 Windows Updateクライアントによって実行されているため、攻撃者はウイルス対策、アプリケーション制御、およびデジタル証明書検証保護をバイパスできます。 最悪のことは、ミドルハーストが野生でそれを使用しているサンプルも見つけたことです。

MicrosoftDefenderに次の機能が含まれていることが以前に発見されたことは注目に値します。 インターネットからファイルをダウンロードする セキュリティチェックをバイパスします。 幸い、Windows Defender Antimalware Clientバージョン4.18.2009.2-0以降、Microsoftはアプリから適切なオプションを削除し、静かなファイルのダウンロードには使用できなくなりました。

ソース： Bleeping Computer