Windows Update kan brukes på en dårlig måte for å kjøre ondsinnede programmer
Windows Update-klienten har nettopp blitt lagt til listen over living-off-the-land binærfiler (LoLBins) som angripere kan bruke til å kjøre ondsinnet kode på Windows-systemer. Lastet på denne måten kan den skadelige koden omgå systembeskyttelsesmekanismen.
Hvis du ikke er kjent med LoLBins, er disse Microsoft-signerte kjørbare filer som lastes ned eller følger med OS som kan brukes fra en tredjepart for å unngå oppdagelse mens du laster ned, installerer eller kjører skadelig kode. Windows Update-klienten (wuauclt) ser ut til å være en av dem.
Verktøyet ligger under %windir%\system32\wuauclt.exe, og er designet for å kontrollere Windows Update (noen av funksjonene) fra kommandolinjen.
MDSec-forsker David Middlehurst oppdaget at wuauclt også kan brukes av angripere til å kjøre ondsinnet kode på Windows 10-systemer ved å laste den fra en vilkårlig spesiallaget DLL med følgende kommandolinjealternativer:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerFull_Path_To_DLL-delen er den absolutte banen til angriperens spesiallagde DLL-fil som vil kjøre kode ved vedlegg. Den kjøres av Windows Update-klienten, og gjør det mulig for angripere å omgå antivirus, programkontroll og digital sertifikatvalideringsbeskyttelse. Det verste er at Middlehurst også fant en prøve ved å bruke den i naturen.
Det er verdt å merke seg at det tidligere ble oppdaget at Microsoft Defender inkluderte muligheten til last ned hvilken som helst fil fra Internett og omgå sikkerhetskontrollene. Heldigvis, fra og med Windows Defender Antimalware Client versjon 4.18.2009.2-0, har Microsoft fjernet det aktuelle alternativet fra appen, og det kan ikke lenger brukes til rolige filnedlastinger.
Kilde: Blødende datamaskin
