Windows atjaunināšanas klients ir tikko pievienots to dzīvo bināro binamāru (LoLBins) sarakstiem, kurus uzbrucēji var izmantot ļaunprātīga koda izpildei Windows sistēmās. Šādi ielādēts, kaitīgais kods var apiet sistēmas aizsardzības mehānismu.
skaidri dati par kodi uguns nūju
Ja neesat pazīstams ar LoLBins, tie ir Microsoft parakstīti izpildāmie faili, kas lejupielādēti vai apvienoti ar OS, kurus var izmantot trešā puse, lai izvairītos no atklāšanas, lejupielādējot, instalējot vai izpildot ļaunprātīgu kodu. Šķiet, ka viens no tiem ir Windows atjaunināšanas klients (wuauclt).
Rīks atrodas zem% windir% system32 wuauclt.exe un ir paredzēts, lai no komandrindas vadītu Windows Update (dažas no tā funkcijām).
MDSec pētnieks Deivids Vidhursts atklāja Wuauclt var izmantot arī uzbrucēji, lai izpildītu ļaunprātīgu kodu Windows 10 sistēmās, ielādējot to no patvaļīgi speciāli izveidota DLL ar šādām komandrindas opcijām:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Daļa Full_Path_To_DLL ir absolūtais ceļš uz uzbrucēja īpaši izstrādāto DLL failu, kas izpildītu kodu pielikumā. To darbina Windows Update klients, un tas ļauj uzbrucējiem apiet pretvīrusu, lietojumprogrammu vadību un digitālo sertifikātu validācijas aizsardzību. Sliktākais ir tas, ka Middlehurst atrada arī paraugu, izmantojot to savvaļā.
kā es varu apskatīt drauga vēlmju sarakstu uz tvaika
Ir vērts atzīmēt, ka agrāk tika atklāts, ka Microsoft Defender ietvēra iespēju lejupielādēt jebkuru failu no interneta un apiet drošības pārbaudes. Par laimi, sākot ar Windows Defender Antimalware Client versiju 4.18.2009.2-0, Microsoft ir noņēmusi no lietotnes atbilstošo opciju, un to vairs nevar izmantot klusām failu lejupielādēm.
Avots: Miega dators