Windows Update: μπορεί να τρέξει κακόβουλα προγράμματα

Τα LoLBins είναι εκτελέσιμα με την υπογραφή της Microsoft (προεγκατεστημένα ή κατεβασμένα) που μπορούν να αποφύγουν τον εντοπισμό κατά τη λήψη, εγκατάσταση ή εκτέλεση κακόβουλου κώδικα.

Μπορούν επίσης να χρησιμοποιηθούν από επιτιθέμενους στις προσπάθειές τους να παρακάμψουν τον έλεγχο λογαριασμού χρήστη των Windows (UAC) ή τον έλεγχο εφαρμογών Windows Defender (WDAC) και να αποκτήσουν πρόσβαση σε ήδη παραβιασμένα συστήματα.

Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο %windir%\\system32\\ το οποίο παρέχει στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent από τη γραμμή εντολών.

Επιτρέπει τον έλεγχο νέων ενημερώσεων και την εγκατάστασή τους χωρίς να χρειάζεται να χρησιμοποιήσετε τη διεπαφή χρήστη των Windows, αλλά αντίθετα να τις ενεργοποιήσετε από ένα παράθυρο της γραμμής εντολών.

Η χρήση της επιλογής  ResetAuthorization επιτρέπει την έναρξη ενός ελέγχου μη αυτόματης ενημέρωσης είτε στον τοπικά διαμορφωμένο διακομιστή WSUS είτε μέσω της υπηρεσίας Windows Update σύμφωνα με τη Microsoft.

Ωστόσο, ο ερευνητής του MDSec David Middlehurst ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί από τους επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows 10 φορτώνοντας το από ένα ειδικά κατασκευασμένο κακόβουλο DLL με τις ακόλουθες επιλογές γραμμής εντολών:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Όπως φαίνεται στο παραπάνω στιγμιότυπο οθόνης, το Full_Path_To_DLL είναι η απόλυτη διαδρομή προς το ειδικά κατασκευασμένο αρχείο DLL του εισβολέα που θα εκτελούσε κώδικα στο attach.

Αυτή η τεχνική κατηγοριοποιείται από το MITER ATT\CK σαν εκτέλεση δυαδικού διακομιστή μεσολάβησης μέσω του Rundll32 και επιτρέπει στους εισβολείς να παρακάμψουν το πρόγραμμα προστασίας από ιούς, τον έλεγχο εφαρμογών και την επικύρωση ψηφιακών πιστοποιητικών.

Σε αυτήν την περίπτωση, το κάνει εκτελώντας κακόβουλο κώδικα από ένα DLL που φορτώθηκε χρησιμοποιώντας ένα υπογεγραμμένο δυαδικό της Microsoft, το Windows Update (wuauclt).

Αφού ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί ως LoLBin, ο Middlehurst βρήκε επίσης ένα δείγμα που το χρησιμοποίησε για online επιθέσεις.

Η Microsoft ενημέρωσε πρόσφατα τη λύση προστασίας από ιούς των Windows 10 Microsoft Defender, αθόρυβα προσθέτοντας έναν τρόπο λήψης αρχείων (δυνητικά κακόβουλου) σε συσκευές με Windows.

Η Microsoft αφαίρεσε αργότερα αυτή τη δυνατότητα από το MpCmdRun.exe (το βοηθητικό πρόγραμμα Microsoft Antimalware Service Line Line).

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).