Windows Update შეიძლება გამოყენებულ იქნას მავნე პროგრამების შესასრულებლად
Windows Update-ის კლიენტი ახლახან დაემატა იმ ბინარების სიას (LoLBins), რომელთა გამოყენება შეუძლიათ Windows სისტემებზე მავნე კოდის შესასრულებლად. ამ გზით დატვირთული, მავნე კოდს შეუძლია სისტემის დაცვის მექანიზმის გვერდის ავლით.
თუ არ იცნობთ LoLBins-ს, ეს არის Microsoft-ის ხელმოწერილი შესრულებადი ფაილები, რომლებიც ჩამოტვირთულია ან შეფუთულია ოპერაციული სისტემა, რომელიც შეიძლება გამოყენებულ იქნას მესამე მხარის მიერ, რათა თავიდან იქნას აცილებული აღმოჩენის თავიდან აცილება მუქარის ჩამოტვირთვის, ინსტალაციის ან შესრულებისას კოდი. Windows Update კლიენტი (wuauclt), როგორც ჩანს, ერთ-ერთი მათგანია.
ინსტრუმენტი მდებარეობს %windir%\system32\wuauclt.exe ქვეშ და შექმნილია Windows Update-ის (მისი ზოგიერთი ფუნქციის) გასაკონტროლებლად ბრძანების ხაზიდან.
MDSec-ის მკვლევარი დევიდ მიდლჰერსტმა აღმოაჩინა რომ wuauclt ასევე შეიძლება გამოიყენონ თავდამსხმელებმა Windows 10 სისტემებზე მავნე კოდის შესასრულებლად მისი თვითნებური, სპეციალურად შექმნილი DLL-დან ჩატვირთვის შემდეგ ბრძანების ხაზის ვარიანტებით:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerFull_Path_To_DLL ნაწილი არის აბსოლუტური გზა თავდამსხმელის სპეციალურად შემუშავებული DLL ფაილისკენ, რომელიც შეასრულებს კოდს დანართზე. Windows Update კლიენტის მიერ გაშვებული, ის საშუალებას აძლევს თავდამსხმელებს გვერდის ავლით ანტივირუსული, აპლიკაციის კონტროლი და ციფრული სერტიფიკატის ვალიდაციის დაცვა. ყველაზე ცუდი ის არის, რომ მიდლჰერსტმაც იპოვა ნიმუში მისი გამოყენებით ველურ ბუნებაში.
აღსანიშნავია, რომ ადრე გაირკვა, რომ Microsoft Defender შეიცავდა შესაძლებლობას ჩამოტვირთეთ ნებისმიერი ფაილი ინტერნეტიდან და გვერდის ავლით უსაფრთხოების შემოწმებებს. საბედნიეროდ, Windows Defender Antimalware Client-ის 4.18.2009.2-0 ვერსიიდან დაწყებული Microsoft-მა წაშალა შესაბამისი ვარიანტი აპიდან და მისი გამოყენება აღარ შეიძლება წყნარი ფაილების ჩამოტვირთვისთვის.
წყარო: ბლეპინგ კომპიუტერი