Windows Update: μπορεί να τρέξει κακόβουλα προγράμματα


Τα LoLBins είναι εκτελέσιμα με την υπογραφή της Microsoft (προεγκατεστημένα ή κατεβασμένα) που μπορούν να αποφύγουν τον εντοπισμό κατά τη λήψη, εγκατάσταση ή εκτέλεση κακόβουλου κώδικα.

Μπορούν επίσης να χρησιμοποιηθούν από επιτιθέμενους στις προσπάθειές τους να παρακάμψουν τον έλεγχο λογαριασμού χρήστη των Windows (UAC) ή τον έλεγχο εφαρμογών Windows Defender (WDAC) και να αποκτήσουν πρόσβαση σε ήδη παραβιασμένα συστήματα.

Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο %windir%\\system32\\ το οποίο παρέχει στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent από τη γραμμή εντολών.

Επιτρέπει τον έλεγχο νέων ενημερώσεων και την εγκατάστασή τους χωρίς να χρειάζεται να χρησιμοποιήσετε τη διεπαφή χρήστη των Windows, αλλά αντίθετα να τις ενεργοποιήσετε από ένα παράθυρο της γραμμής εντολών.

Η χρήση της επιλογής  ResetAuthorization επιτρέπει την έναρξη ενός ελέγχου μη αυτόματης ενημέρωσης είτε στον τοπικά διαμορφωμένο διακομιστή WSUS είτε μέσω της υπηρεσίας Windows Update σύμφωνα με τη Microsoft.

Ωστόσο, ο ερευνητής του MDSec David Middlehurst ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί από τους επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows 10 φορτώνοντας το από ένα ειδικά κατασκευασμένο κακόβουλο DLL με τις ακόλουθες επιλογές γραμμής εντολών:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Όπως φαίνεται στο παραπάνω στιγμιότυπο οθόνης, το Full_Path_To_DLL είναι η απόλυτη διαδρομή προς το ειδικά κατασκευασμένο αρχείο DLL του εισβολέα που θα εκτελούσε κώδικα στο attach.

Αυτή η τεχνική κατηγοριοποιείται από το MITER ATT\CK σαν εκτέλεση δυαδικού διακομιστή μεσολάβησης μέσω του Rundll32 και επιτρέπει στους εισβολείς να παρακάμψουν το πρόγραμμα προστασίας από ιούς, τον έλεγχο εφαρμογών και την επικύρωση ψηφιακών πιστοποιητικών.

Σε αυτήν την περίπτωση, το κάνει εκτελώντας κακόβουλο κώδικα από ένα DLL που φορτώθηκε χρησιμοποιώντας ένα υπογεγραμμένο δυαδικό της Microsoft, το Windows Update (wuauclt).

Αφού ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί ως LoLBin, ο Middlehurst βρήκε επίσης ένα δείγμα που το χρησιμοποίησε για online επιθέσεις.

Η Microsoft ενημέρωσε πρόσφατα τη λύση προστασίας από ιούς των Windows 10 Microsoft Defender, αθόρυβα προσθέτοντας έναν τρόπο λήψης αρχείων (δυνητικά κακόβουλου) σε συσκευές με Windows.

Η Microsoft αφαίρεσε αργότερα αυτή τη δυνατότητα από το MpCmdRun.exe (το βοηθητικό πρόγραμμα Microsoft Antimalware Service Line Line).

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news