Windows Update สามารถใช้ในทางที่ไม่ดีในการรันโปรแกรมที่เป็นอันตราย

เพิ่งเพิ่มไคลเอนต์ Windows Update ลงในรายการผู้โจมตีไบนารีที่ไม่มีชีวิต (LoLBins) สามารถใช้เพื่อรันโค้ดที่เป็นอันตรายบนระบบ Windows โหลดด้วยวิธีนี้ รหัสที่เป็นอันตรายสามารถข้ามกลไกการป้องกันระบบได้

หากคุณไม่คุ้นเคยกับ LoLBins ไฟล์เหล่านั้นคือไฟล์ปฏิบัติการที่ลงนามโดย Microsoft ดาวน์โหลดหรือมาพร้อมกับไฟล์ OS ที่สามารถใช้บุคคลที่สามเพื่อหลบเลี่ยงการตรวจจับขณะดาวน์โหลด ติดตั้ง หรือดำเนินการที่เป็นอันตราย รหัส. ไคลเอนต์ Windows Update (wuauclt) ดูเหมือนจะเป็นหนึ่งในนั้น

เครื่องมือนี้อยู่ภายใต้ %windir%\system32\wuauclt.exe และออกแบบมาเพื่อควบคุม Windows Update (คุณลักษณะบางอย่าง) จากบรรทัดคำสั่ง

นักวิจัย MDsec David Middlehurst ค้นพบ ผู้โจมตีสามารถใช้ wuauclt เพื่อรันโค้ดที่เป็นอันตรายบนระบบ Windows 10 ได้ด้วยการโหลดจาก DLL ที่สร้างขึ้นเป็นพิเศษโดยอำเภอใจพร้อมตัวเลือกบรรทัดคำสั่งต่อไปนี้:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

ส่วน Full_Path_To_DLL เป็นเส้นทางที่แน่นอนไปยังไฟล์ DLL ที่สร้างขึ้นเป็นพิเศษของผู้โจมตี ซึ่งจะรันโค้ดบนไฟล์แนบ การเรียกใช้โดยไคลเอนต์ Windows Update ช่วยให้ผู้โจมตีสามารถเลี่ยงการป้องกันไวรัส การควบคุมแอปพลิเคชัน และการป้องกันการตรวจสอบใบรับรองดิจิทัล สิ่งที่เลวร้ายที่สุดคือมิดเดิลเฮิร์สต์ยังพบตัวอย่างที่ใช้มันในป่า

เป็นที่น่าสังเกตว่าก่อนหน้านี้มีการค้นพบว่า Microsoft Defender รวมความสามารถในการ ดาวน์โหลดไฟล์ใดก็ได้จากอินเทอร์เน็ต และข้ามการตรวจสอบความปลอดภัย โชคดีที่เริ่มต้นใน Windows Defender Antimalware Client เวอร์ชัน 4.18.2009.2-0 Microsoft ได้ลบตัวเลือกที่เหมาะสมออกจากแอป และไม่สามารถใช้สำหรับการดาวน์โหลดไฟล์แบบเงียบได้อีกต่อไป

แหล่งที่มา: คอมพิวเตอร์กำลังหลับ