Windows Update kan användas på ett dåligt sätt för att köra skadliga program

Windows Update-klienten har precis lagts till i listan över living-off-the-land binärfiler (LoLBins) som angripare kan använda för att exekvera skadlig kod på Windows-system. Laddad på detta sätt kan den skadliga koden kringgå systemskyddsmekanismen.

Om du inte är bekant med LoLBins är det Microsoft-signerade körbara filer som laddas ner eller paketeras med OS som kan användas en tredje part för att undvika upptäckt under nedladdning, installation eller körning av skadlig programvara koda. Windows Update-klienten (wuauclt) verkar vara en av dem.

Verktyget finns under %windir%\system32\wuauclt.exe och är utformat för att styra Windows Update (några av dess funktioner) från kommandoraden.

MDSec-forskare David Middlehurst upptäckte att wuauclt också kan användas av angripare för att köra skadlig kod på Windows 10-system genom att ladda den från en godtycklig specialgjord DLL med följande kommandoradsalternativ:

wuauclt.exe /UpdateDeploymentProvider [sökväg_till_dll] /RunHandlerComServer

Full_Path_To_DLL-delen är den absoluta sökvägen till angriparens specialgjorda DLL-fil som skulle köra kod vid bifogning. Den körs av Windows Update-klienten och gör det möjligt för angripare att kringgå antivirus, programkontroll och skydd för digital certifikatvalidering. Det värsta är att Middlehurst också hittade ett prov med det i naturen.

Det är värt att notera att det tidigare upptäcktes att Microsoft Defender inkluderade möjligheten att ladda ner vilken fil som helst från Internet och kringgå säkerhetskontrollerna. Lyckligtvis, från och med Windows Defender Antimalware Client version 4.18.2009.2-0 har Microsoft tagit bort det lämpliga alternativet från appen, och det kan inte längre användas för tysta filnedladdningar.

Källa: Pipande dator