Windows atjaunināšanu var izmantot sliktā veidā, lai izpildītu ļaunprātīgas programmas

Windows atjaunināšanas klients tikko ir pievienots to bināro failu sarakstam, kurus uzbrucēji var izmantot, lai Windows sistēmās izpildītu ļaunprātīgu kodu. Šādā veidā ielādēts kaitīgais kods var apiet sistēmas aizsardzības mehānismu.

Ja neesat pazīstams ar LoLBins, tie ir Microsoft parakstīti izpildāmie faili, kas lejupielādēti vai komplektēti ar OS, ko var izmantot trešā puse, lai izvairītos no atklāšanas ļaunprātīgas programmatūras lejupielādes, instalēšanas vai izpildes laikā. kodu. Šķiet, ka Windows atjaunināšanas klients (wuauclt) ir viens no tiem.

Rīks atrodas sadaļā %windir%\system32\wuauclt.exe un ir paredzēts Windows atjaunināšanas (dažus tā līdzekļu) vadīšanai no komandrindas.

MDSec pētnieks Deivids Midlhērsts atklāja ka wuauclt var izmantot arī uzbrucēji, lai izpildītu ļaunprātīgu kodu Windows 10 sistēmās, ielādējot to no patvaļīga īpaši izveidota DLL ar šādām komandrindas opcijām:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Daļa Full_Path_To_DLL ir absolūtais ceļš uz uzbrucēja īpaši izveidoto DLL failu, kas pievienotā failā izpildītu kodu. Tā kā tas darbojas ar Windows Update klientu, tas ļauj uzbrucējiem apiet pretvīrusu, lietojumprogrammu kontroles un digitālā sertifikāta validācijas aizsardzību. Sliktākais ir tas, ka Midlhērsta arī atrada paraugu, izmantojot to savvaļā.

Ir vērts atzīmēt, ka agrāk tika atklāts, ka Microsoft Defender ietvēra iespēju lejupielādēt jebkuru failu no interneta un apiet drošības pārbaudes. Par laimi, sākot ar Windows Defender Antimalware Client versiju 4.18.2009.2-0, Microsoft ir noņēmis atbilstošo opciju no lietotnes, un to vairs nevar izmantot klusai failu lejupielādei.

Avots: Pīkstošs dators