Windows Tips & News

„Windows Update“ gali būti netinkamai naudojamas kenkėjiškoms programoms vykdyti

„Windows Update“ klientas ką tik įtrauktas į dvejetainių failų (LoLBins), kuriuos užpuolikai gali naudoti norėdami vykdyti kenkėjišką kodą „Windows“ sistemose, sąrašą. Tokiu būdu įkeltas žalingas kodas gali apeiti sistemos apsaugos mechanizmą.

Jei nesate susipažinę su LoLBins, tai yra Microsoft pasirašyti vykdomieji failai, atsisiunčiami arba kartu su OS, kurią trečioji šalis gali naudoti siekiant išvengti aptikimo atsisiunčiant, diegiant ar vykdant kenkėjišką kodas. „Windows Update“ klientas (wuauclt) yra vienas iš jų.

Įrankis yra %windir%\system32\wuauclt.exe ir yra skirtas valdyti Windows naujinimą (kai kurias jo funkcijas) iš komandinės eilutės.

MDSec tyrėjas Davidas Middlehurstas atrado kad wuauclt taip pat gali naudoti užpuolikai, norėdami vykdyti kenkėjišką kodą Windows 10 sistemose, įkeldami jį iš savavališko specialiai sukurto DLL su šiomis komandinės eilutės parinktimis:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Dalis Full_Path_To_DLL yra absoliutus kelias į užpuoliko specialiai sukurtą DLL failą, kuris vykdytų kodą priede. Naudojant „Windows Update“ klientą, užpuolikai gali apeiti antivirusinę, programų valdymo ir skaitmeninio sertifikato patvirtinimo apsaugą. Blogiausia tai, kad Middlehurstas taip pat rado pavyzdį, naudodamas jį gamtoje.

Verta paminėti, kad anksčiau buvo nustatyta, kad „Microsoft Defender“ apima galimybę parsisiųsti bet kokį failą iš interneto ir apeiti saugumo patikras. Laimei, pradedant „Windows Defender Antimalware Client“ versija 4.18.2009.2-0 „Microsoft“ pašalino atitinkamą parinktį iš programos ir jos nebegalima naudoti tyliam failų atsisiuntimui.

Šaltinis: Blyksnis kompiuteris

Tinkamas momentas peržiūrėti „Windows Insider“ programos nustatymus

Tinkamas momentas peržiūrėti „Windows Insider“ programos nustatymus

„Microsoft“ šiandien paskelbė, kad baigė „Windows 10“ versijos 1909 „2019 m. lapkričio mėn. nauji...

Skaityti daugiau

„Windows 10 Build 18965“ (20H1, greitas skambutis)

„Windows 10 Build 18965“ (20H1, greitas skambutis)

REKOMENDUOJAMAS: Spustelėkite čia, kad išspręstumėte „Windows“ problemas ir optimizuotumėte siste...

Skaityti daugiau

Windows 10 paštas naujas langas Archyvai

Ši svetainė naudoja slapukus, kad pagerintų jūsų patirtį naršant svetainėje. Iš šių slapukų slapu...

Skaityti daugiau