Windows Update se lahko uporablja na slab način za izvajanje zlonamernih programov

Odjemalec Windows Update je bil pravkar dodan na seznam binarnih datotek (LoLBins), ki jih lahko napadalci uporabljajo za izvajanje zlonamerne kode v sistemih Windows. Tako naložena škodljiva koda lahko zaobide mehanizem zaščite sistema.

Če niste seznanjeni z LoLBins, so to izvedljive datoteke, podpisane z Microsoftom, za prenos ali v paketu z OS, ki se lahko uporabi tretji osebi, da se izogne ​​zaznavanju med prenosom, namestitvijo ali izvajanjem zlonamerne Koda. Zdi se, da je odjemalec Windows Update (wuauclt) eden izmed njih.

Orodje se nahaja pod %windir%\system32\wuauclt.exe in je zasnovano za nadzor Windows Update (nekatere njegove funkcije) iz ukazne vrstice.

Raziskovalec MDSec David Middlehurst je odkril ta wuauclt lahko napadalci uporabljajo tudi za izvajanje zlonamerne kode v sistemih Windows 10, tako da jo naložijo iz poljubne, posebej izdelane DLL z naslednjimi možnostmi ukazne vrstice:

wuauclt.exe /UpdateDeploymentProvider [pot_do_dll] /RunHandlerComServer

Del Full_Path_To_DLL je absolutna pot do napadalčeve posebej izdelane datoteke DLL, ki bi izvajala kodo ob priponki. Ker ga izvaja odjemalec Windows Update, napadalcem omogoča, da zaobidejo protivirusno zaščito, nadzor aplikacij in zaščito pred preverjanjem veljavnosti digitalnih potrdil. Najhuje je, da je tudi Middlehurst našel vzorec, ki ga je uporabljal v naravi.

Omeniti velja, da je bilo prej odkrito, da je Microsoft Defender vključeval zmožnost za prenesite katero koli datoteko z interneta in obidete varnostne preglede. Na srečo je Microsoft od odjemalca proti zlonamerni programski opremi Windows Defender različice 4.18.2009.2-0 odstranil ustrezno možnost iz aplikacije in je ni več mogoče uporabljati za tihe prenose datotek.

vir: Bleeping računalnik