„Windows Update“ gali būti netinkamai naudojamas kenkėjiškoms programoms vykdyti

„Windows Update“ klientas ką tik įtrauktas į dvejetainių failų (LoLBins), kuriuos užpuolikai gali naudoti norėdami vykdyti kenkėjišką kodą „Windows“ sistemose, sąrašą. Tokiu būdu įkeltas žalingas kodas gali apeiti sistemos apsaugos mechanizmą.

Jei nesate susipažinę su LoLBins, tai yra Microsoft pasirašyti vykdomieji failai, atsisiunčiami arba kartu su OS, kurią trečioji šalis gali naudoti siekiant išvengti aptikimo atsisiunčiant, diegiant ar vykdant kenkėjišką kodas. „Windows Update“ klientas (wuauclt) yra vienas iš jų.

Įrankis yra %windir%\system32\wuauclt.exe ir yra skirtas valdyti Windows naujinimą (kai kurias jo funkcijas) iš komandinės eilutės.

MDSec tyrėjas Davidas Middlehurstas atrado kad wuauclt taip pat gali naudoti užpuolikai, norėdami vykdyti kenkėjišką kodą Windows 10 sistemose, įkeldami jį iš savavališko specialiai sukurto DLL su šiomis komandinės eilutės parinktimis:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Dalis Full_Path_To_DLL yra absoliutus kelias į užpuoliko specialiai sukurtą DLL failą, kuris vykdytų kodą priede. Naudojant „Windows Update“ klientą, užpuolikai gali apeiti antivirusinę, programų valdymo ir skaitmeninio sertifikato patvirtinimo apsaugą. Blogiausia tai, kad Middlehurstas taip pat rado pavyzdį, naudodamas jį gamtoje.

Verta paminėti, kad anksčiau buvo nustatyta, kad „Microsoft Defender“ apima galimybę parsisiųsti bet kokį failą iš interneto ir apeiti saugumo patikras. Laimei, pradedant „Windows Defender Antimalware Client“ versija 4.18.2009.2-0 „Microsoft“ pašalino atitinkamą parinktį iš programos ir jos nebegalima naudoti tyliam failų atsisiuntimui.

Šaltinis: Blyksnis kompiuteris