Clientul Windows Update tocmai a fost adăugat la lista binarilor care trăiesc în afara teritoriului (LoLBins) pe care atacatorii îl pot folosi pentru a executa coduri dăunătoare pe sistemele Windows. Încărcat în acest fel, codul dăunător poate ocoli mecanismul de protecție a sistemului.
cum să ștergeți vizualizarea recentă a aplicației dorite
Dacă nu sunteți familiarizați cu LoLBins, acestea sunt fișiere executabile semnate de Microsoft, descărcate sau incluse în sistemul de operare, care pot fi folosite de o terță parte pentru a se sustrage detectării în timp ce descărcați, instalați sau executați coduri rău intenționate. Clientul Windows Update (wuauclt) pare a fi unul dintre ei.
Instrumentul este situat sub% windir% system32 wuauclt.exe și este conceput pentru a controla Windows Update (unele dintre caracteristicile sale) din linia de comandă.
Cercetător MDSec David Middlehurst a descoperit acel wuauclt poate fi folosit și de atacatori pentru a executa coduri rău intenționate pe sistemele Windows 10 încărcându-l dintr-un DLL arbitrar special creat cu următoarele opțiuni din linia de comandă:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Porțiunea Full_Path_To_DLL este calea absolută către fișierul DLL special creat de atacator care ar executa codul la atașare. Executat de clientul Windows Update, acesta permite atacatorilor să ocolească protecția antivirus, a aplicației și a validării certificatelor digitale. Cel mai rău lucru este că Middlehurst a găsit și un eșantion care îl folosea în sălbăticie.
cum se verifică dacă GPU este defect
Este demn de remarcat faptul că mai devreme s-a descoperit că Microsoft Defender include capacitatea de a descărcați orice fișier de pe Internet și ocoliți controalele de securitate. Din fericire, începând cu Windows Defender Antimalware Client versiunea 4.18.2009.2-0 Microsoft a eliminat opțiunea corespunzătoare din aplicație și nu mai poate fi utilizată pentru descărcări de fișiere silențioase.
Sursă: Bleeping Computer