ΑρχικήSecurityWindows Update: Χρησιμοποιείται για την εκτέλεση κακόβουλου κώδικα

Windows Update: Χρησιμοποιείται για την εκτέλεση κακόβουλου κώδικα

Windows Update

Το Windows Update client μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows. Όπως λένε και οι ειδικοί, το Windows Update προστέθηκε στη λίστα με τα LoLBins (living-off-the-land binaries).

Τα LoLBins είναι εκτελέσιμα με υπογραφή Microsoft (προεγκατεστημένα ή κατεβασμένα), που μπορούν να χρησιμοποιηθούν από hackers για την αποφυγή της ανίχνευσης (κατά τη λήψη) και για την εγκατάσταση ή εκτέλεση κακόβουλου κώδικα.

Επίσης, οι εγκληματίες μπορούν να τα επιλέξουν για να παρακάμψουν τον έλεγχο Windows User Account Control (UAC) ή το Windows Defender Application Control (WDAC) και για να μείνουν για μεγάλο χρονικό διάστημα σε συστήματα που έχουν παραβιαστεί ήδη.

Εκτέλεση κακόβουλου κώδικα με κακόβουλα DLLs

Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο% windir% \ system32 \, παρέχοντας στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent, από τη γραμμή εντολών.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 3 hours ago

Επιτρέπει στους χρήστες να ελέγχουν για νέες ενημερώσεις και να τις εγκαθιστούν χωρίς να χρειάζεται να χρησιμοποιήσουν το Windows UI. Μπορούν να το κάνουν από ένα παράθυρο Command Prompt.

Ωστόσο, ο ερευνητής της MDSec, David Middlehurst, ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί από επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα που τρέχουν Windows 10, φορτώνοντάς το από ένα ειδικά κατασκευασμένο DLL:

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

Όπως φαίνεται στο παραπάνω screenshot, το Full_Path_To_DLL είναι το μόνο path προς το ειδικά κατασκευασμένο αρχείο DLL που θα εκτελούσε κώδικα.

Σύμφωνα με την MITRE ATT&CK, αυτή η τεχνική αποφυγής της ανίχνευσης ανήκει στην κατηγορία Signed Binary Proxy Execution μέσω Rundll32 και επιτρέπει στους εισβολείς να παρακάμψουν το πρόγραμμα προστασίας από ιούς, τον έλεγχο εφαρμογών και την επικύρωση ψηφιακών πιστοποιητικών.

Σύμφωνα με το Bleepingcomputer, σε αυτήν την περίπτωση, γίνεται εκτελώντας κακόβουλο κώδικα από ένα DLL που φορτώθηκε χρησιμοποιώντας ένα signed-Microsoft binary, το Windows Update client (wuauclt).

Αφού ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί ως LoLBin, ο ερευνητής Middlehurst βρήκε ένα δείγμα που χρησιμοποιούνταν ήδη.

Η Microsoft είχε ενημερώσει πρόσφατα το Windows 10 Microsoft Defender, προσθέτοντας έναν τρόπο λήψης αρχείων (δυνητικά κακόβουλων) σε συσκευές Windows.

Αργότερα, αφαίρεσε αυτή τη δυνατότητα από το MpCmdRun.exe (the Microsoft Antimalware Service Command Line Utility).

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS