Klient Windows Update byl právě přidán do seznamu binárních souborů LoLBins, které mohou útočníci použít k provádění škodlivého kódu v systémech Windows. Takto načtený škodlivý kód může obejít mechanismus ochrany systému.
jak vytvořit klávesové zkratky v systému Windows 10
Pokud nejste obeznámeni s LoLBins, jedná se o spustitelné soubory podepsané společností Microsoft stažené nebo dodávané s operačním systémem, které lze použít k vyhnutí se detekci během stahování, instalace nebo spuštění škodlivého kódu třetí stranou. Klient Windows Update (wuauclt) se zdá být jedním z nich.
Tento nástroj je umístěn pod% windir% system32 wuauclt.exe a je určen k ovládání systému Windows Update (některé jeho funkce) z příkazového řádku.
Výzkumník MDSec Objevil David Middlehurst že wuauclt mohou útočníci použít také ke spuštění škodlivého kódu v systémech Windows 10 načtením z libovolné speciálně vytvořené knihovny DLL s následujícími možnostmi příkazového řádku:
wuauclt.exe / UpdateDeploymentProvider [cesta_k_dll] / RunHandlerComServer
Část Full_Path_To_DLL je absolutní cesta ke speciálně vytvořenému souboru DLL útočníka, který by spustil kód při připojení. Spuštěn klientem Windows Update umožňuje útočníkům obejít antivirovou ochranu, kontrolu aplikací a ochranu ověřování digitálních certifikátů. Nejhorší je, že Middlehurst také našel vzorek, který jej použil ve volné přírodě.
jak získat mody na minecraft Windows 10
Stojí za zmínku, že dříve bylo zjištěno, že Microsoft Defender zahrnoval schopnost stáhnout libovolný soubor z Internetu a obejít bezpečnostní kontroly. Naštěstí od verze Windows Defender Antimalware Client verze 4.18.2009.2-0 Microsoft odstranil příslušnou možnost z aplikace a již ji nelze použít pro tiché stahování souborů.
Zdroj: Pípající počítač