Windows Update може використовуватися погано для виконання шкідливих програм

Клієнт Windows Update щойно був доданий до списку бінарних файлів, які живуть за межами землі (LoLBins), які зловмисники можуть використовувати для виконання шкідливого коду в системах Windows. Завантажений таким чином шкідливий код може обійти механізм захисту системи.

Якщо ви не знайомі з LoLBins, це підписані Microsoft виконувані файли, які завантажуються або входять у комплект ОС, яку можна використовувати сторонніми розробниками, щоб уникнути виявлення під час завантаження, встановлення або виконання шкідливого код. Клієнт Windows Update (wuauclt), схоже, є одним із них.

Інструмент розташований у %windir%\system32\wuauclt.exe і призначений для керування Windows Update (деякими його функціями) з командного рядка.

Дослідник MDSec Девід Міддлхерст відкрив що wuauclt також може використовуватися зловмисниками для виконання шкідливого коду в системах Windows 10, завантажуючи його з довільної спеціально створеної DLL з такими параметрами командного рядка:

wuauclt.exe /UpdateDeploymentProvider [шлях_до_dll] /RunHandlerComServer

Частина Full_Path_To_DLL — це абсолютний шлях до спеціально створеного DLL-файлу зловмисника, який виконуватиме код при вкладенні. Будучи запущеним клієнтом Windows Update, він дає змогу зловмисникам обійти захист від антивірусу, контролю програм і перевірки цифрових сертифікатів. Найгірше те, що Міддлхерст також знайшов зразок з його використанням у дикій природі.

Варто відзначити, що раніше було виявлено, що Microsoft Defender включає в себе можливість завантажити будь-який файл з Інтернету і обійти перевірки безпеки. На щастя, починаючи з Windows Defender Antimalware Client версії 4.18.2009.2-0 Microsoft видалила відповідну опцію з програми, і її більше не можна використовувати для тихого завантаження файлів.

Джерело: Спливаючий комп'ютер