Центр обновления Windows может быть использован неверно для запуска вредоносных программ.
Клиент Центра обновления Windows только что был добавлен в список живых двоичных файлов (LoLBins), которые злоумышленники могут использовать для выполнения вредоносного кода в системах Windows. Загруженный таким образом вредоносный код может обойти механизм защиты системы.
Если вы не знакомы с LoLBins, это исполняемые файлы, подписанные Microsoft, загружаемые или связанные с ОС, которая может использоваться сторонней организацией для уклонения от обнаружения при загрузке, установке или выполнении вредоносных программ. код. Клиент Центра обновления Windows (wuauclt), похоже, является одним из них.
Инструмент находится в папке% windir% \ system32 \ wuauclt.exe и предназначен для управления Центром обновления Windows (некоторыми его функциями) из командной строки.
Исследователь MDSec Дэвид Миддлхерст обнаружил что wuauclt также может использоваться злоумышленниками для выполнения вредоносного кода в системах Windows 10, загружая его из произвольной специально созданной библиотеки DLL со следующими параметрами командной строки:
wuauclt.exe / UpdateDeploymentProvider [путь_к_dll] / RunHandlerComServerЧасть Full_Path_To_DLL - это абсолютный путь к специально созданному файлу DLL злоумышленника, который будет выполнять код при присоединении. Будучи запущенным клиентом Центра обновления Windows, он позволяет злоумышленникам обойти защиту от вирусов, контроля приложений и проверки цифровых сертификатов. Хуже всего то, что Миддлхерст также нашел образец, используя его в дикой природе.
Стоит отметить, что ранее было обнаружено, что в Microsoft Defender включена возможность скачать любой файл из интернета и обойти проверки безопасности. К счастью, начиная с версии 4.18.2009.2-0 клиента защиты от вредоносных программ Защитника Windows, Microsoft удалила соответствующий параметр из приложения, и его больше нельзя использовать для скрытой загрузки файлов.
Источник: Пищевой компьютер
