Windows Update poate fi folosit într-un mod prost pentru a executa programe rău intenționate
Clientul Windows Update tocmai a fost adăugat la lista de binare care trăiesc în afara terenurilor (LoLBins) pe care atacatorii le pot folosi pentru a executa cod rău intenționat pe sistemele Windows. Încărcat în acest fel, codul dăunător poate ocoli mecanismul de protecție a sistemului.
Dacă nu sunteți familiarizat cu LoLBins, acestea sunt fișiere executabile semnate de Microsoft descărcate sau incluse în pachetul Sistem de operare care poate fi folosit de o terță parte pentru a evita detectarea în timpul descărcării, instalării sau executării unui program rău intenționat cod. Clientul Windows Update (wuauclt) pare să fie unul dintre ele.
Instrumentul se află sub %windir%\system32\wuauclt.exe și este conceput pentru a controla Windows Update (unele dintre caracteristicile sale) din linia de comandă.
cercetător MDSec David Middlehurst a descoperit că wuauclt poate fi folosit și de atacatori pentru a executa cod rău intenționat pe sistemele Windows 10, încărcându-l dintr-un DLL arbitrar special creat cu următoarele opțiuni de linie de comandă:
wuauclt.exe /UpdateDeploymentProvider [calea_la_dll] /RunHandlerComServerPorțiunea Full_Path_To_DLL este calea absolută către fișierul DLL special creat al atacatorului, care ar executa codul la atașare. Fiind rulat de clientul Windows Update, acesta permite atacatorilor să ocolească protecția antivirus, controlul aplicațiilor și validarea certificatelor digitale. Cel mai rău lucru este că Middlehurst a găsit și o mostră folosind-o în sălbăticie.
Este de remarcat faptul că mai devreme s-a descoperit că Microsoft Defender includea capacitatea de a descărcați orice fișier de pe Internet și ocoli controalele de securitate. Din fericire, începând cu Windows Defender Antimalware Client versiunea 4.18.2009.2-0, Microsoft a eliminat opțiunea corespunzătoare din aplicație și nu mai poate fi folosită pentru descărcări silențioase de fișiere.
Sursă: Bleeping Computer
