Windows Update, kötü amaçlı programları yürütmek için kötü bir şekilde kullanılabilir

Windows Update istemcisi, saldırganların Windows sistemlerinde kötü amaçlı kod yürütmek için kullanabileceği arazi dışı ikili dosyalar (LoLBins) listesine yeni eklendi. Bu şekilde yüklenen zararlı kod, sistem koruma mekanizmasını atlayabilir.

LoLBin'lere aşina değilseniz, bunlar Microsoft imzalı yürütülebilir dosyalardır. Kötü amaçlı yazılımları indirirken, kurarken veya yürütürken tespit edilmekten kaçınmak için üçüncü taraf olarak kullanılabilen işletim sistemi kod. Windows Update istemcisi (wuauclt) bunlardan biri gibi görünüyor.

Araç %windir%\system32\wuauclt.exe altında bulunur ve Windows Update'i (bazı özellikleri) komut satırından kontrol etmek için tasarlanmıştır.

MDSec araştırmacısı David Middlehurst keşfetti wuauclt, saldırganlar tarafından Windows 10 sistemlerinde kötü amaçlı kodu aşağıdaki komut satırı seçenekleriyle rastgele özel hazırlanmış bir DLL dosyasından yükleyerek yürütmek için de kullanılabilir:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Full_Path_To_DLL bölümü, saldırganın ekte kod yürütecek özel hazırlanmış DLL dosyasının mutlak yoludur. Windows Update istemcisi tarafından çalıştırıldığından, saldırganların virüsten koruma, uygulama denetimi ve dijital sertifika doğrulama korumasını atlamasını sağlar. En kötüsü, Middlehurst'un onu vahşi doğada kullanan bir örnek bulmuş olması.

Daha önce Microsoft Defender'ın şu özelliği içerdiğinin keşfedildiğini belirtmekte fayda var. İnternetten herhangi bir dosya indirin ve güvenlik kontrollerini atlayın. Neyse ki, Windows Defender Kötü Amaçlı Yazılımdan Koruma İstemcisi sürüm 4.18.2009.2-0'dan başlayarak Microsoft, uygun seçeneği uygulamadan kaldırdı ve artık sessiz dosya indirmeleri için kullanılamaz.

Kaynak: Bipleyen Bilgisayar