Виндовс Упдате се може користити на лош начин за извршавање злонамерних програма

Виндовс Упдате клијент је управо додат на листу бинарних датотека које живе ван земље (ЛоЛБинс) које нападачи могу да користе за извршавање злонамерног кода на Виндовс системима. Учитан на овај начин, штетни код може заобићи механизам заштите система.

Ако нисте упознати са ЛоЛБинс-ом, то су извршне датотеке које потписује Мицрософт за преузимање или у пакету са ОС који може да се користи треће стране да би се избегао откривање током преузимања, инсталирања или извршавања злонамерног код. Чини се да је Виндовс Упдате клијент (вуауцлт) један од њих.

Алат се налази под %виндир%\систем32\вуауцлт.еке и дизајниран је да контролише Виндовс Упдате (неке његове функције) из командне линије.

МДСец истраживач Давид Миддлехурст открио тај вуауцлт такође могу да користе нападачи за извршавање злонамерног кода на Виндовс 10 системима тако што ће га учитати из произвољног специјално направљеног ДЛЛ-а са следећим опцијама командне линије:

вуауцлт.еке /УпдатеДеплоиментПровидер [патх_то_длл] /РунХандлерЦомСервер

Део Фулл_Патх_То_ДЛЛ је апсолутна путања до нападачеве посебно креиране ДЛЛ датотеке која би извршила код у прилогу. Пошто га покреће Виндовс Упдате клијент, омогућава нападачима да заобиђу антивирусну заштиту, контролу апликација и заштиту валидације дигиталних сертификата. Најгоре је што је Миддлехурст такође пронашао узорак користећи га у дивљини.

Вреди напоменути да је раније откривено да Мицрософт Дефендер укључује могућност да преузмите било коју датотеку са Интернета и заобићи безбедносне провере. Срећом, почевши од Виндовс Дефендер Антималваре Цлиент верзије 4.18.2009.2-0 Мицрософт је уклонио одговарајућу опцију из апликације и више се не може користити за тихо преузимање датотека.

Извор: Блеепинг Цомпутер