Windows Update -asiakasohjelma on juuri lisätty luetteloon elävistä maa-binaareista (LoLBins), joita hyökkääjät voivat käyttää haittaohjelmien suorittamiseen Windows-järjestelmissä. Tällä tavoin ladattu haitallinen koodi voi ohittaa järjestelmän suojamekanismin.
kuinka käynnistää kääntämätön palvelin
Jos et ole perehtynyt LoLBins-tiedostoon, ne ovat Microsoftin allekirjoittamia suoritettavia tiedostoja, jotka on ladattu tai yhdistetty käyttöjärjestelmään ja joita kolmannen osapuolen avulla voidaan välttää havaitsemista haittaohjelmia ladattaessa, asennettaessa tai suoritettaessa. Windows Update -asiakasohjelma (wuauclt) näyttää olevan yksi niistä.
Työkalu sijaitsee% windir% system32 wuauclt.exe -kohdassa, ja se on suunniteltu ohjaamaan Windows Update -ohjelmaa (joitain sen ominaisuuksia) komentoriviltä.
MDSec-tutkija David Middlehurst löysi hyökkääjät voivat myös käyttää wuaucltia haittaohjelmien suorittamiseen Windows 10 -järjestelmissä lataamalla sen mielivaltaisesta erikoisvalmistetusta DLL: stä seuraavilla komentorivivaihtoehdoilla:
wuauclt.exe / UpdateDeploymentProvider [polku_to_dll] / RunHandlerComServer
Full_Path_To_DLL-osa on ehdoton polku hyökkääjän erityisesti muotoiltuun DLL-tiedostoon, joka suorittaa koodin liitteenä. Windows Update -asiakasohjelman avulla hyökkääjät voivat ohittaa virustentorjunta-, sovellusten hallinta- ja digitaalisten varmenteiden suojauksen. Pahinta on, että Middlehurst löysi myös näytteen, joka käytti sitä luonnossa.
kuinka tehdä kappaleita 8 bittiä
On syytä huomata, että aiemmin havaittiin, että Microsoft Defender sisälsi kyvyn lataa kaikki tiedostot Internetistä ja ohittaa turvatarkastukset. Onneksi Windows Defender Antimalware Client -ohjelman versiosta 4.18.2009.2-0 alkaen Microsoft on poistanut sopivan vaihtoehdon sovelluksesta, eikä sitä voida enää käyttää hiljaisiin tiedostolatauksiin.
Lähde: Nukkuva tietokone