Windows Tips & News

„Windows Update“ gali būti netinkamai naudojamas kenkėjiškoms programoms vykdyti

„Windows Update“ klientas ką tik įtrauktas į dvejetainių failų (LoLBins), kuriuos užpuolikai gali naudoti norėdami vykdyti kenkėjišką kodą „Windows“ sistemose, sąrašą. Tokiu būdu įkeltas žalingas kodas gali apeiti sistemos apsaugos mechanizmą.

Jei nesate susipažinę su LoLBins, tai yra Microsoft pasirašyti vykdomieji failai, atsisiunčiami arba kartu su OS, kurią trečioji šalis gali naudoti siekiant išvengti aptikimo atsisiunčiant, diegiant ar vykdant kenkėjišką kodas. „Windows Update“ klientas (wuauclt) yra vienas iš jų.

Įrankis yra %windir%\system32\wuauclt.exe ir yra skirtas valdyti Windows naujinimą (kai kurias jo funkcijas) iš komandinės eilutės.

MDSec tyrėjas Davidas Middlehurstas atrado kad wuauclt taip pat gali naudoti užpuolikai, norėdami vykdyti kenkėjišką kodą Windows 10 sistemose, įkeldami jį iš savavališko specialiai sukurto DLL su šiomis komandinės eilutės parinktimis:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Dalis Full_Path_To_DLL yra absoliutus kelias į užpuoliko specialiai sukurtą DLL failą, kuris vykdytų kodą priede. Naudojant „Windows Update“ klientą, užpuolikai gali apeiti antivirusinę, programų valdymo ir skaitmeninio sertifikato patvirtinimo apsaugą. Blogiausia tai, kad Middlehurstas taip pat rado pavyzdį, naudodamas jį gamtoje.

Verta paminėti, kad anksčiau buvo nustatyta, kad „Microsoft Defender“ apima galimybę parsisiųsti bet kokį failą iš interneto ir apeiti saugumo patikras. Laimei, pradedant „Windows Defender Antimalware Client“ versija 4.18.2009.2-0 „Microsoft“ pašalino atitinkamą parinktį iš programos ir jos nebegalima naudoti tyliam failų atsisiuntimui.

Šaltinis: Blyksnis kompiuteris

Išleistas „Windows 10 Build 17713“ su naujomis funkcijomis

Išleistas „Windows 10 Build 17713“ su naujomis funkcijomis

„Microsoft“ išleidžia „Windows 10 Insider Preview Build 17713“ iš „Redstone 5“ šakos į „Windows I...

Skaityti daugiau

„Microsoft“ gali atnaujinti „Windows 10“ išvaizdą naudodama „WinUI 3“.

„Microsoft“ gali atnaujinti „Windows 10“ išvaizdą naudodama „WinUI 3“.

REKOMENDUOJAMAS: Spustelėkite čia, kad išspręstumėte „Windows“ problemas ir optimizuotumėte siste...

Skaityti daugiau

„Microsoft“ pristatė naują „WinUI“ svetainę

„Microsoft“ pristatė naują „WinUI“ svetainę

REKOMENDUOJAMAS: Spustelėkite čia, kad išspręstumėte „Windows“ problemas ir optimizuotumėte siste...

Skaityti daugiau