„Windows Update“ klientas ką tik buvo įtrauktas į sąrašą, kuriame užpuolikai gali naudoti ne žemėje esančius dvejetainius failus (LoLBins), kad galėtų vykdyti kenkėjišką kodą „Windows“ sistemose. Tokiu būdu įkeltas kenksmingas kodas gali apeiti sistemos apsaugos mechanizmą.
kokia atmintis yra mano kompiuteryje
Jei nesate susipažinę su „LoLBins“, tai yra „Microsoft“ pasirašyti vykdomieji failai, atsisiųsti arba susieti su OS, kurie gali būti naudojami trečiajai šaliai, norint išvengti aptikimo atsisiunčiant, diegiant ar vykdant kenkėjišką kodą. Panašu, kad „Windows Update“ klientas („wuauclt“) yra vienas iš jų.
Įrankis yra% windir% system32 wuauclt.exe skiltyje ir yra skirtas valdyti „Windows Update“ (kai kurias jo funkcijas) iš komandinės eilutės.
MDSec tyrinėtojas Deividas Middlehurstas atrado užpuolikai taip pat gali naudoti „wuauclt“ kenkėjiškam kodui vykdyti „Windows 10“ sistemose, įkeldami jį iš savavališko specialiai sukurto DLL su šiomis komandų eilutės parinktimis:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Dalis „Full_Path_To_DLL“ yra absoliutus kelias į užpuoliko specialiai sukurtą DLL failą, kuris vykdys kodą pridėdamas. Tai veikia „Windows Update“ klientas, todėl užpuolikai gali apeiti antivirusinę, programų valdymą ir skaitmeninių sertifikatų tikrinimo apsaugą. Blogiausia, kad „Middlehurst“ taip pat rado mėginį, naudojamą laukinėje gamtoje.
kaip peržiūrėti dm instagrame
Verta paminėti, kad anksčiau buvo atrasta, kad „Microsoft Defender“ įtraukė galimybę atsisiųsti bet kokį failą iš interneto ir apeiti saugumo patikrinimus. Laimei, nuo „Windows Defender Antimalware Client“ versijos 4.18.2009.2-0 „Microsoft“ pašalino atitinkamą parinktį iš programos ir jos nebegalima naudoti ramiems failų atsisiuntimams.
Šaltinis: Miegantis kompiuteris