Τρίτη, 23 Φεβρουαρίου, 02:22
Αρχική security Windows Update: Χρησιμοποιείται για την εκτέλεση κακόβουλου κώδικα

Windows Update: Χρησιμοποιείται για την εκτέλεση κακόβουλου κώδικα

Windows Update

Το Windows Update client μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows. Όπως λένε και οι ειδικοί, το Windows Update προστέθηκε στη λίστα με τα LoLBins (living-off-the-land binaries).

Τα LoLBins είναι εκτελέσιμα με υπογραφή Microsoft (προεγκατεστημένα ή κατεβασμένα), που μπορούν να χρησιμοποιηθούν από hackers για την αποφυγή της ανίχνευσης (κατά τη λήψη) και για την εγκατάσταση ή εκτέλεση κακόβουλου κώδικα.

Επίσης, οι εγκληματίες μπορούν να τα επιλέξουν για να παρακάμψουν τον έλεγχο Windows User Account Control (UAC) ή το Windows Defender Application Control (WDAC) και για να μείνουν για μεγάλο χρονικό διάστημα σε συστήματα που έχουν παραβιαστεί ήδη.

Εκτέλεση κακόβουλου κώδικα με κακόβουλα DLLs

Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο% windir% \ system32 \, παρέχοντας στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent, από τη γραμμή εντολών.

Επιτρέπει στους χρήστες να ελέγχουν για νέες ενημερώσεις και να τις εγκαθιστούν χωρίς να χρειάζεται να χρησιμοποιήσουν το Windows UI. Μπορούν να το κάνουν από ένα παράθυρο Command Prompt.

Ωστόσο, ο ερευνητής της MDSec, David Middlehurst, ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί από επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα που τρέχουν Windows 10, φορτώνοντάς το από ένα ειδικά κατασκευασμένο DLL:

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

Όπως φαίνεται στο παραπάνω screenshot, το Full_Path_To_DLL είναι το μόνο path προς το ειδικά κατασκευασμένο αρχείο DLL που θα εκτελούσε κώδικα.

Σύμφωνα με την MITRE ATT&CK, αυτή η τεχνική αποφυγής της ανίχνευσης ανήκει στην κατηγορία Signed Binary Proxy Execution μέσω Rundll32 και επιτρέπει στους εισβολείς να παρακάμψουν το πρόγραμμα προστασίας από ιούς, τον έλεγχο εφαρμογών και την επικύρωση ψηφιακών πιστοποιητικών.

Σύμφωνα με το Bleepingcomputer, σε αυτήν την περίπτωση, γίνεται εκτελώντας κακόβουλο κώδικα από ένα DLL που φορτώθηκε χρησιμοποιώντας ένα signed-Microsoft binary, το Windows Update client (wuauclt).

Αφού ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί ως LoLBin, ο ερευνητής Middlehurst βρήκε ένα δείγμα που χρησιμοποιούνταν ήδη.

Η Microsoft είχε ενημερώσει πρόσφατα το Windows 10 Microsoft Defender, προσθέτοντας έναν τρόπο λήψης αρχείων (δυνητικά κακόβουλων) σε συσκευές Windows.

Αργότερα, αφαίρεσε αυτή τη δυνατότητα από το MpCmdRun.exe (the Microsoft Antimalware Service Command Line Utility).

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

00:03:39

Η κορυφαία λίστα παιχνιδιών του Xbox Game Pass για το 2021

https://www.youtube.com/watch?v=zJLiVBYFACw Μία από τις κορυφαίες πλατφόρμες με παιχνίδια για το Xbox και το PC σας σε προνομιακή...

Η τιμή του Bitcoin μειώθηκε κατά 10.000$ σε 24 ώρες

Μετά από εβδομάδες σταθερών κερδών, η τιμή του Bitcoin έπεσε κατακόρυφα. Περισσότερα από 10.000...

iPhone/iPad: Πως να διαγράψετε με αυτόματο τρόπο παλιά μηνύματα text

Από προεπιλογή, το iPhone και το iPad σας αποθηκεύουν κάθε μήνυμα text iMessage και SMS που λαμβάνετε. Ως αποτέλεσμα, θα μπορούσατε να...

Tesla: Το μεγαλύτερο σύστημα μπαταριών στον κόσμο δείχνει πρόοδο

Ένα νέο βίντεο που τράβηξε ένα drone δείχνει ότι η Tesla σημειώνει πρόοδο προς την ολοκλήρωση στο έργο Moss Landing Megapack που...

Η SonicWall κυκλοφορεί πρόσθετο update για την ευπάθεια SMA 100

Η SonicWall κυκλοφόρησε ένα δεύτερο firmware update για μια ευπάθεια zero-day SMA-100 που είναι γνωστό ότι χρησιμοποιείται σε επιθέσεις και προειδοποιεί λέγοντας...

Κινέζοι χάκερ κλωνοποίησαν εργαλείο που ανήκει στο Equation Group της NSA

Κινέζοι χάκερ "κλωνοποίησαν" και χρησιμοποιούσαν για χρόνια ένα zero-day exploit των Windows που κλάπηκε από το Equation Group της NSA, λένε οι...

Το Underwriters Laboratories (UL) δέχτηκε επίθεση ransomware

Το UL LLC, γνωστό ως Underwriters Laboratories, υπέστη μια επίθεση ransomware κατά την οποία κρυπτογραφήθηκαν οι servers του και αναγκάστηκε να κλείσει...

Διέρρευσε εικόνα των AirPods τρίτης γενιάς‌ της Apple

Μια εικόνα που ισχυρίζεται ότι απεικονίζει τα AirPods τρίτης γενιάς‌ της Apple, διέρρευσε στο διαδίκτυο. Την εικόνα κοινοποίησε το 52audio. Σε αυτήν...

Kroger: Η παραβίαση δεδομένων εκθέτει δεδομένα υπαλλήλων

Η γιγαντιαία αλυσίδα σούπερ μάρκετ Kroger υπέστη παραβίαση δεδομένων μετά την παραβίαση μιας υπηρεσίας που χρησιμοποιήθηκε για τη μεταφορά αρχείων με ασφάλεια...

Νέο feautre του Chrome για iOS κλειδώνει Incognito καρτέλες με Face ID

Το Google Chrome για iOS αποκτά μια νέα λειτουργία απορρήτου που επιτρέπει στους χρήστες να κλειδώνουν τις ανοιχτές καρτέλες Incognito και να...