A Windows Update rossz módon használható rosszindulatú programok futtatására

A Windows Update kliens nemrégiben felkerült a földön élő bináris fájlok (LoLBins) listájára, amelyeket a támadók rosszindulatú kódok futtatásához használhatnak Windows rendszereken. Ilyen módon töltve a káros kód megkerülheti a rendszer védelmi mechanizmusát.

hogyan lehet újra csatlakoztatni a gyűrűt a wifi-hez

Ha nem ismeri a LoLBins programot, ezek a Microsoft által aláírt futtatható fájlok, amelyek letölthetők vagy az operációs rendszerhez vannak csomagolva, és amelyeket harmadik fél felhasználhat a kártékony kód letöltése, telepítése vagy futtatása során az észlelés elkerülésére. Úgy tűnik, hogy a Windows Update kliens (wuauclt) az egyik ilyen.

Az eszköz a% windir% system32 wuauclt.exe alatt található, és a Windows Update (egyes szolgáltatásainak) parancssorból történő vezérlésére készült.

MDSec kutató David Middlehurst felfedezte a wuauclt a támadók által rosszindulatú kód futtatására is használható a Windows 10 rendszereken egy tetszőleges, speciálisan kialakított DLL-ből a következő parancssori opciók segítségével:

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

A Full_Path_To_DLL rész a támadó speciálisan kialakított DLL fájljának abszolút elérési útja, amely csatoláskor futtatna kódot. A Windows Update kliens futtatja, így a támadók megkerülhetik a víruskereső, az alkalmazásvezérlő és a digitális tanúsítványellenőrzési védelmet. A legrosszabb, hogy Middlehurst is talált egy mintát a vadonban.

hogyan lehet megváltoztatni a letöltések helyét

Érdemes megjegyezni, hogy korábban kiderült, hogy a Microsoft Defender magában foglalta a képességét töltsön le bármilyen fájlt az internetről és megkerülni a biztonsági ellenőrzéseket. Szerencsére a Windows Defender Antimalware Client 4.18.2009.2-0 verziójából indulva a Microsoft eltávolította a megfelelő opciót az alkalmazásból, és ez már nem használható csendes fájlletöltésekhez.

Forrás: Alvó számítógép