Windows Update kan op een slechte manier worden gebruikt om kwaadaardige programma's uit te voeren

De Windows Update-client is zojuist toegevoegd aan de lijst met living-off-the-land binaries (LoLBins) die aanvallers kunnen gebruiken om kwaadaardige code uit te voeren op Windows-systemen. Op deze manier geladen, kan de schadelijke code het systeembeveiligingsmechanisme omzeilen.

Als u niet bekend bent met LoLBins, zijn dit door Microsoft ondertekende uitvoerbare bestanden die zijn gedownload of gebundeld met de Besturingssysteem dat door een derde partij kan worden gebruikt om detectie te omzeilen tijdens het downloaden, installeren of uitvoeren van kwaadwillende code. Windows Update-client (wuauclt) lijkt daar een van te zijn.

Het hulpprogramma bevindt zich onder %windir%\system32\wuauclt.exe en is ontworpen om Windows Update (sommige functies) vanaf de opdrachtregel te besturen.

MDSec-onderzoeker David Middlehurst ontdekt die wuauclt kan ook door aanvallers worden gebruikt om kwaadaardige code uit te voeren op Windows 10-systemen door deze te laden vanuit een willekeurige speciaal vervaardigde DLL met de volgende opdrachtregelopties:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Het gedeelte Full_Path_To_DLL is het absolute pad naar het speciaal vervaardigde DLL-bestand van de aanvaller dat code zou uitvoeren bij het koppelen. Omdat het wordt uitgevoerd door de Windows Update-client, kunnen aanvallers antivirus, toepassingscontrole en validatie van digitale certificaten omzeilen. Het ergste is dat Middlehurst ook een monster vond dat het in het wild gebruikte.

Het is vermeldenswaard dat eerder werd ontdekt dat Microsoft Defender de mogelijkheid bood om: elk bestand van internet downloaden en de veiligheidscontroles omzeilen. Gelukkig heeft Microsoft, vanaf Windows Defender Antimalware Client versie 4.18.2009.2-0, de juiste optie uit de app verwijderd en kan deze niet langer worden gebruikt voor stille bestandsdownloads.

Bron: piepende computer