Windows Update môže byť použitý zlým spôsobom na spustenie škodlivých programov
Klient služby Windows Update bol práve pridaný do zoznamu binárnych súborov LoLBins (Living-off-the-land), ktoré útočníci môžu použiť na spustenie škodlivého kódu v systémoch Windows. Takto načítaný škodlivý kód môže obísť mechanizmus ochrany systému.
Ak nepoznáte LoLBins, ide o spustiteľné súbory podpísané spoločnosťou Microsoft, ktoré si môžete stiahnuť alebo pribaliť k OS, ktorý možno použiť treťou stranou na obídenie detekcie pri sťahovaní, inštalácii alebo spúšťaní škodlivého softvéru kód. Klient Windows Update (wuauclt) sa zdá byť jedným z nich.
Nástroj sa nachádza pod %windir%\system32\wuauclt.exe a je určený na ovládanie služby Windows Update (niektoré jej funkcie) z príkazového riadku.
Výskumník MDSec objavil David Middlehurst že wuauclt môžu útočníci použiť aj na spustenie škodlivého kódu v systémoch Windows 10 jeho načítaním z ľubovoľnej špeciálne vytvorenej knižnice DLL s nasledujúcimi možnosťami príkazového riadka:
wuauclt.exe /UpdateDeploymentProvider [cesta_k_dll] /RunHandlerComServerČasť Full_Path_To_DLL je absolútna cesta k útočníkovmu špeciálne vytvorenému súboru DLL, ktorý spustí kód pri pripojení. Spustený pomocou klienta Windows Update umožňuje útočníkom obísť antivírusovú ochranu, kontrolu aplikácií a overenie digitálnych certifikátov. Najhoršie je, že Middlehurst tiež našiel vzorku, ktorá ho používa vo voľnej prírode.
Stojí za zmienku, že už skôr sa zistilo, že Microsoft Defender obsahuje túto možnosť stiahnuť ľubovoľný súbor z internetu a obísť bezpečnostné kontroly. Našťastie, počnúc verziou klienta Windows Defender Antimalware Client 4.18.2009.2-0 spoločnosť Microsoft odstránila príslušnú možnosť z aplikácie a už ju nemožno použiť na tiché sťahovanie súborov.
Zdroj: Pípajúci počítač