O Windows Update pode ser usado de maneira inadequada para executar programas maliciosos
O cliente Windows Update acaba de ser adicionado à lista de binários vivos (LoLBins) que os atacantes podem usar para executar códigos maliciosos em sistemas Windows. Carregado dessa forma, o código prejudicial pode contornar o mecanismo de proteção do sistema.
Se você não estiver familiarizado com LoLBins, esses são arquivos executáveis assinados pela Microsoft, baixados ou agrupados com o Sistema operacional que pode ser usado por terceiros para evitar a detecção durante o download, instalação ou execução maliciosa código. O cliente Windows Update (wuauclt) parece ser um deles.
A ferramenta está localizada em% windir% \ system32 \ wuauclt.exe e foi projetada para controlar o Windows Update (alguns de seus recursos) a partir da linha de comando.
Pesquisador MDSec David Middlehurst descobriu esse wuauclt também pode ser usado por invasores para executar código malicioso em sistemas Windows 10, carregando-o de uma DLL arbitrária especialmente criada com as seguintes opções de linha de comando:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerA parte Full_Path_To_DLL é o caminho absoluto para o arquivo DLL especialmente criado do invasor que executaria o código ao anexar. Sendo executado pelo cliente do Windows Update, ele permite que os invasores ignorem a proteção antivírus, o controle de aplicativos e a validação de certificado digital. O pior é que Middlehurst também encontrou uma amostra usando-o na natureza.
É importante notar que, anteriormente, foi descoberto que o Microsoft Defender incluía a capacidade de baixe qualquer arquivo da Internet e ignorar as verificações de segurança. Felizmente, a partir do Windows Defender Antimalware Client versão 4.18.2009.2-0, a Microsoft removeu a opção apropriada do aplicativo e ele não pode mais ser usado para downloads silenciosos de arquivos.
Fonte: Biping Computer