Windows Update'i klient lisati äsja loendisse, kus ründajad saavad kasutada maal elavaid binaare (LoLBins), et nad saaksid Windowsi süsteemides pahatahtlikku koodi käivitada. Sel viisil laadituna võib kahjulik kood süsteemi kaitsemehhanismist mööda hiilida.
kuidas sa oma oina kontrollid
Kui te pole LoLBinsiga tuttav, on need Microsofti allkirjastatud allalaaditavad või komplekteeritud operatsioonisüsteemiga failid, mida saab kolmanda osapoole abil tuvastada tuvastamisest pahatahtliku koodi allalaadimisel, installimisel või käivitamisel. Näib, et üks neist on Windowsi värskenduse klient (wuauclt).
Tööriist asub% windir% system32 wuauclt.exe all ja on loodud Windows Update'i (mõnede selle funktsioonide) juhtimiseks käsurealt.
MDSeci uurija David Middlehurst avastas ründajad saavad wuauclt kasutada ka pahatahtliku koodi käivitamiseks Windows 10 süsteemides, laadides selle suvaliselt spetsiaalselt loodud DLL-ist järgmiste käsureavalikutega:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Osa Full_Path_To_DLL on ründaja spetsiaalselt loodud DLL-faili absoluutne tee, mis käivitaks manusel koodi. Kuna seda töötab Windows Update'i klient, võimaldab see ründajatel mööda minna viirusetõrje-, rakenduste juhtimis- ja digitaalsertifikaatide valideerimise kaitsest. Halvim on see, et Middlehurst leidis ka proovi, kasutades seda looduses.
Google Play pood tulekahju TV jaoks
Väärib märkimist, et varem avastati, et Microsoft Defender sisaldas võimalust laadige Internetist alla kõik failid ja mööda turvakontrollidest. Õnneks on Microsoft Defender Antimalware Client versioonist 4.18.2009.2-0 alustades Microsoft rakendusest sobiva valiku eemaldanud ja seda ei saa enam kasutada failide vaikseks allalaadimiseks.
Allikas: Magav arvuti