Windows Tips & News

„Windows Update“ gali būti netinkamai naudojamas kenkėjiškoms programoms vykdyti

„Windows Update“ klientas ką tik įtrauktas į dvejetainių failų (LoLBins), kuriuos užpuolikai gali naudoti norėdami vykdyti kenkėjišką kodą „Windows“ sistemose, sąrašą. Tokiu būdu įkeltas žalingas kodas gali apeiti sistemos apsaugos mechanizmą.

Jei nesate susipažinę su LoLBins, tai yra Microsoft pasirašyti vykdomieji failai, atsisiunčiami arba kartu su OS, kurią trečioji šalis gali naudoti siekiant išvengti aptikimo atsisiunčiant, diegiant ar vykdant kenkėjišką kodas. „Windows Update“ klientas (wuauclt) yra vienas iš jų.

Įrankis yra %windir%\system32\wuauclt.exe ir yra skirtas valdyti Windows naujinimą (kai kurias jo funkcijas) iš komandinės eilutės.

MDSec tyrėjas Davidas Middlehurstas atrado kad wuauclt taip pat gali naudoti užpuolikai, norėdami vykdyti kenkėjišką kodą Windows 10 sistemose, įkeldami jį iš savavališko specialiai sukurto DLL su šiomis komandinės eilutės parinktimis:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Dalis Full_Path_To_DLL yra absoliutus kelias į užpuoliko specialiai sukurtą DLL failą, kuris vykdytų kodą priede. Naudojant „Windows Update“ klientą, užpuolikai gali apeiti antivirusinę, programų valdymo ir skaitmeninio sertifikato patvirtinimo apsaugą. Blogiausia tai, kad Middlehurstas taip pat rado pavyzdį, naudodamas jį gamtoje.

Verta paminėti, kad anksčiau buvo nustatyta, kad „Microsoft Defender“ apima galimybę parsisiųsti bet kokį failą iš interneto ir apeiti saugumo patikras. Laimei, pradedant „Windows Defender Antimalware Client“ versija 4.18.2009.2-0 „Microsoft“ pašalino atitinkamą parinktį iš programos ir jos nebegalima naudoti tyliam failų atsisiuntimui.

Šaltinis: Blyksnis kompiuteris

Pridėti iškarpinės istorijos kontekstinį meniu sistemoje „Windows 10“.

Pridėti iškarpinės istorijos kontekstinį meniu sistemoje „Windows 10“.

Naujausiose „Windows 10“ versijose yra nauja iškarpinės istorijos funkcija. Jame įdiegta debesyje...

Skaityti daugiau

„Windows 10“ iškarpinės istorijos archyvai

Dabar galima įklijuoti kaip paprastą tekstą sistemoje „Windows 10“, naudojant iškarpinės istoriją...

Skaityti daugiau

Kaip pašalinti veiklą iš laiko juostos sistemoje „Windows 10“.

Kaip pašalinti veiklą iš laiko juostos sistemoje „Windows 10“.

REKOMENDUOJAMAS: Spustelėkite čia, kad išspręstumėte „Windows“ problemas ir optimizuotumėte siste...

Skaityti daugiau