Ο υπολογιστής-πελάτης του Windows Update μόλις προστέθηκε στη λίστα των εισβολέων live-off-the-land binaries (LoLBins) που μπορούν να χρησιμοποιήσουν για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows. Φορτωμένος με αυτόν τον τρόπο, ο επιβλαβής κωδικός μπορεί να παρακάμψει τον μηχανισμό προστασίας του συστήματος.
πώς να ενεργοποιήσετε τη φωνητική συνομιλία στο Fortnite
Εάν δεν είστε εξοικειωμένοι με τα LoLBins, αυτά είναι εκτελέσιμα αρχεία που έχουν υπογραφεί από τη Microsoft ή που ομαδοποιούνται με το λειτουργικό σύστημα που μπορούν να χρησιμοποιηθούν από τρίτους για αποφυγή εντοπισμού κατά τη λήψη, εγκατάσταση ή εκτέλεση κακόβουλου κώδικα. Ο πελάτης του Windows Update (wuauclt) φαίνεται να είναι ένας από αυτούς.
Το εργαλείο βρίσκεται κάτω από το% windir% system32 wuauclt.exe και έχει σχεδιαστεί για τον έλεγχο του Windows Update (μερικές από τις δυνατότητές του) από τη γραμμή εντολών.
Ερευνητής MDSec Ο David Middlehurst ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί από εισβολείς για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows 10 φορτώνοντάς το από ένα αυθαίρετο ειδικά κατασκευασμένο DLL με τις ακόλουθες επιλογές γραμμής εντολών:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerΤο τμήμα Full_Path_To_DLL είναι η απόλυτη διαδρομή προς το ειδικά κατασκευασμένο αρχείο DLL του εισβολέα που θα εκτελούσε κώδικα στο attach. Εκτελείται από τον υπολογιστή-πελάτη του Windows Update, επιτρέπει στους εισβολείς να παρακάμψουν το πρόγραμμα προστασίας από ιούς, τον έλεγχο εφαρμογών και την επικύρωση ψηφιακών πιστοποιητικών. Το χειρότερο είναι ότι ο Middlehurst βρήκε επίσης ένα δείγμα που το χρησιμοποιούσε στην άγρια φύση.
πώς να διαγράψετε όλες τις εφαρμογές στο iPhone
Αξίζει να σημειωθεί ότι νωρίτερα ανακαλύφθηκε ότι ο Microsoft Defender περιλάμβανε τη δυνατότητα κατεβάστε οποιοδήποτε αρχείο από το Διαδίκτυο και παράκαμψη των ελέγχων ασφαλείας. Ευτυχώς, ξεκινώντας από το Windows Defender Antimalware Client έκδοση 4.18.2009.2-0 Η Microsoft έχει καταργήσει την κατάλληλη επιλογή από την εφαρμογή και δεν μπορεί πλέον να χρησιμοποιηθεί για αθόρυβες λήψεις αρχείων.
Πηγή: Υπολογιστής ύπνου
