Windows Update-klienten har precis lagts till i listan över LoLBins-angripare som kan leva utanför marken för att utföra skadlig kod på Windows-system. Lastad på detta sätt kan den skadliga koden kringgå systemskyddsmekanismen.
hur du ökar din snap-poäng
Om du inte känner till LoLBins är det Microsoft-signerade körbara filer som laddas ner eller buntas med operativsystemet som kan användas av tredje part för att undvika upptäckt medan du laddar ner, installerar eller kör skadlig kod. Windows Update-klienten (wuauclt) verkar vara en av dem.
Verktyget finns under% windir% system32 wuauclt.exe och är utformat för att styra Windows Update (några av dess funktioner) från kommandoraden.
MDSec-forskare David Middlehurst upptäckte att wuauclt också kan användas av angripare för att utföra skadlig kod på Windows 10-system genom att ladda den från en godtycklig speciellt utformad DLL med följande kommandoradsalternativ:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerFull_Path_To_DLL-delen är den absoluta sökvägen till angriparens speciellt utformade DLL-fil som skulle köra kod vid bifogning. Eftersom den körs av Windows Update-klienten kan angripare kringgå skydd mot antivirus, applikationskontroll och digitalt certifikat. Det värsta är att Middlehurst också hittade ett prov som använde det i naturen.
oenighet visas offline för en server
Det är värt att notera att tidigare upptäcktes att Microsoft Defender inkluderade möjligheten att ladda ner valfri fil från Internet och kringgå säkerhetskontrollerna. Lyckligtvis startar i Windows Defender Antimalware Client version 4.18.2009.2-0 Microsoft har tagit bort lämpligt alternativ från appen, och det kan inte längre användas för tyst nedladdning av filer.
Källa: Blödande dator
