Klient Windows Update został właśnie dodany do listy żyjących poza ziemią plików binarnych (LoLBins), których mogą użyć atakujący do wykonania złośliwego kodu w systemach Windows. Wczytany w ten sposób szkodliwy kod może ominąć mechanizm ochrony systemu.
jak ominąć zakaz niezgody
Jeśli nie jesteś zaznajomiony z LoLBins, są to pliki wykonywalne podpisane przez Microsoft do pobrania lub dołączone do systemu operacyjnego, które mogą zostać wykorzystane przez firmę zewnętrzną do uniknięcia wykrycia podczas pobierania, instalowania lub wykonywania złośliwego kodu. Wydaje się, że jednym z nich jest klient Windows Update (wuauclt).
Narzędzie znajduje się pod% windir% system32 wuauclt.exe i jest przeznaczone do sterowania usługą Windows Update (niektórymi jej funkcjami) z wiersza poleceń.
Badacz MDSec David Middlehurst odkrył że wuauclt może być również używany przez osoby atakujące do wykonania złośliwego kodu w systemach Windows 10, ładując go z dowolnej specjalnie spreparowanej biblioteki DLL z następującymi opcjami wiersza poleceń:
wuauclt.exe / UpdateDeploymentProvider [ścieżka_do_dll] / RunHandlerComServer
Część Full_Path_To_DLL to bezwzględna ścieżka do specjalnie spreparowanego pliku DLL osoby atakującej, który wykonywałby kod po dołączeniu. Działając przez klienta Windows Update, umożliwia atakującym ominięcie ochrony antywirusowej, kontroli aplikacji i weryfikacji certyfikatu cyfrowego. Najgorsze jest to, że Middlehurst również znalazł próbkę wykorzystującą ją na wolności.
Internet działa wolno w systemie Windows 10
Warto zauważyć, że wcześniej odkryto, że Microsoft Defender zawierał możliwość pobrać dowolny plik z Internetu i ominąć kontrole bezpieczeństwa. Na szczęście, począwszy od klienta Windows Defender Antimalware Client w wersji 4.18.2009.2-0, firma Microsoft usunęła odpowiednią opcję z aplikacji i nie można jej już używać do cichego pobierania plików.
Źródło: Piszczący komputer