Windows Update-klienten har nettopp blitt lagt til i listen over levende binære filer (LoLBins) angripere kan bruke til å utføre ondsinnet kode på Windows-systemer. Lastet på denne måten kan den skadelige koden omgå systembeskyttelsesmekanismen.
hvordan du formaterer USB-stasjon Windows 10
Hvis du ikke er kjent med LoLBins, er det Microsoft-signerte kjørbare filer som lastes ned eller følger med operativsystemet som kan brukes av en tredjepart for å unngå deteksjon mens du laster ned, installerer eller kjører skadelig kode. Windows Update-klienten (wuauclt) ser ut til å være en av dem.
Verktøyet ligger under% windir% system32 wuauclt.exe, og er designet for å kontrollere Windows Update (noen av funksjonene) fra kommandolinjen.
MDSec forsker Oppdaget David Middlehurst at wuauclt også kan brukes av angripere til å utføre ondsinnet kode på Windows 10-systemer ved å laste den fra en vilkårlig spesiallaget DLL med følgende kommandolinjealternativer:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Full_Path_To_DLL-delen er den absolutte banen til angriperens spesiallagde DLL-fil som vil utføre kode ved vedlegg. Kjøres av Windows Update-klienten, og gjør det mulig for angripere å omgå beskyttelse mot antivirus, applikasjonskontroll og digital sertifikatvalidering. Det verste er at Middlehurst også fant et utvalg som brukte det i naturen.
hvordan du endrer sideorientering i Google Docs
Det er verdt å merke seg at tidligere ble det oppdaget at Microsoft Defender inkluderte muligheten til å laste ned hvilken som helst fil fra Internett og omgå sikkerhetskontrollene. Heldigvis har startet i Windows Defender Antimalware Client versjon 4.18.2009.2-0 Microsoft fjernet det riktige alternativet fra appen, og det kan ikke lenger brukes til stille filnedlastinger.
Kilde: Bleeding Computer