El client de Windows Update s’acaba d’afegir a la llista de binaris que viuen fora de la terra (LoLBins) que poden utilitzar els atacants per executar codi maliciós als sistemes Windows. Carregat d’aquesta manera, el codi perjudicial pot evitar el mecanisme de protecció del sistema.
passar d'una google drive a una altra
Si no esteu familiaritzat amb LoLBins, es tracta de fitxers executables signats per Microsoft descarregats o inclosos amb el sistema operatiu que es poden fer servir a tercers per eludir la detecció mentre es descarrega, s’instal·la o s’executa codi maliciós. El client de Windows Update (wuauclt) sembla ser un d’ells.
L'eina es troba a% windir% system32 wuauclt.exe i està dissenyada per controlar Windows Update (algunes de les seves funcions) des de la línia d'ordres.
Investigador MDSec David Middlehurst va descobrir aquest atac també pot ser utilitzat pels atacants per executar codi maliciós en sistemes Windows 10 carregant-lo des d'una DLL arbitrària especialment dissenyada amb les següents opcions de línia d'ordres:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
La porció Full_Path_To_DLL és el camí d'accés absolut al fitxer DLL especialment dissenyat per l'atacant que executaria el codi en adjuntar. El client Windows Update l’executa i permet als atacants evitar els antivirus, el control d’aplicacions i la protecció de validació de certificats digitals. El pitjor és que Middlehurst també va trobar una mostra que l’utilitzava en estat salvatge.
com cercar adreces d'interès a Chrome
Val a dir que anteriorment es va descobrir que Microsoft Defender incloïa la possibilitat descarregueu qualsevol fitxer d'Internet i ometeu els controls de seguretat. Per sort, a partir de la versió 4.18.2009.2-0 de Windows Defender Antimalware Client, Microsoft ha eliminat l'opció adequada de l'aplicació i ja no es pot utilitzar per a descàrregues de fitxers silencioses.
Font: Bleeping Computer