Windows Update może być wykorzystany w zły sposób do uruchamiania złośliwych programów
Klient usługi Windows Update został właśnie dodany do listy plików binarnych typu living-off-the-land (LoLBins), których atakujący mogą użyć do wykonania złośliwego kodu w systemach Windows. Załadowany w ten sposób szkodliwy kod może ominąć mechanizm ochrony systemu.
Jeśli nie znasz LoLBins, są to pliki wykonywalne podpisane przez Microsoft, które można pobrać lub dołączone do programu System operacyjny, który może zostać wykorzystany przez inną firmę do uniknięcia wykrycia podczas pobierania, instalowania lub wykonywania złośliwego oprogramowania kod. Klient Windows Update (wuauclt) wydaje się być jednym z nich.
Narzędzie znajduje się w folderze %windir%\system32\wuauclt.exe i służy do sterowania usługą Windows Update (niektórymi jej funkcjami) z wiersza poleceń.
badacz MDSec Odkryto Davida Middlehursta że wuauclt może być również wykorzystany przez atakujących do wykonania złośliwego kodu w systemach Windows 10, ładując go z dowolnej, specjalnie spreparowanej biblioteki DLL z następującymi opcjami wiersza polecenia:
wuauclt.exe /UpdateDeploymentProvider [ścieżka_do_dll] /RunHandlerComServerCzęść Full_Path_To_DLL jest ścieżką bezwzględną do specjalnie spreparowanego pliku DLL osoby atakującej, która wykona kod podczas dołączania. Działając na kliencie Windows Update, umożliwia atakującym ominięcie ochrony antywirusowej, kontroli aplikacji i cyfrowego sprawdzania poprawności. Najgorsze jest to, że Middlehurst również znalazł próbkę używającą go na wolności.
Warto zauważyć, że wcześniej odkryto, że Microsoft Defender zawierał możliwość: pobierz dowolny plik z Internetu i ominąć kontrole bezpieczeństwa. Na szczęście, począwszy od Windows Defender Antimalware Client w wersji 4.18.2009.2-0, Microsoft usunął odpowiednią opcję z aplikacji i nie można jej już używać do cichego pobierania plików.
Źródło: Syczący komputer
