Windows Update może pobierać złośliwe pliki z pominięciem ochrony Defendera i UAC

Windows Update może pobierać złośliwe pliki z pominięciem ochrony Defendera i UAC

 Krzysztof Sulikowski
Krzysztof Sulikowski
13:47
13.10.2020
1624 wyświetlenia

We wrześniu pisaliśmy o funkcji Windows Defender, która wzbudziła obawy badaczy zabezpieczeń. Chodzi konkretnie o pobieranie plików poprzez Wiersz poleceń, w tym arbitralne binarki. Badacze uznali, że może ona poszerzać powierzchnię ataku w Windows, choć Microsoft był odmiennego zdania. Zmienił je dopiero po czasie. Teraz okazało się, że podobną funkcjonalność posiada też Windows Update.

Choć w przypadku Microsoft Defendera nie ma mowy o exploicie, funkcjonalność umożliwiała działanie skryptu, który może uruchomić Wiersz poleceń, aby importować kolejne pliki z Internetu z użyciem natywnych binarek, tzw. living-off-the-land albo LOLBINs. Teraz podobną funkcjonalność odkryto w Windows Update. Może ona pomóc hakerom w uruchamianiu złośliwych plików wykonywalnych.

Badacz zabezpieczeń z MDSec, David Middlehurst, odkrył, że wuauclt może być użyty przez atakujących do wykonania złośliwego kodu w Windows 10, ładując go z arbitralnego, specjalnie spreparowanego DLL z odpowiednimi opcjami wiersza poleceń: wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer.

wuauclt.exe

Sztuczka ta pozwala obejść kontrolę konta użytkownika (Windows User Account Control - UAC) i kontrolę aplikacji Defendera (Windows Defender Application Control - WDAC). Może też wzmocnić kontrolę nad już przejętymi systemami. Po odkryciu tej metody Middlehurst zauważył, że hakerzy już o niej wiedzieli. Badacz znalazł próbkę wskazującą na użycie tej sztuczki "w dziczy".

W odpowiedzi na wcześniejszy raport Microsoft usunął możliwość pobierania plików z MpCmdRun.exe (Microsoft Antimalware Service Command Line Utility). Nie wiemy jeszcze, jak zareaguje na ten, choć spodziewamy się, że postąpi tak samo.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.bleepingcomputer.com/news/security/windows-update-can-be-abused-to-execute-malicious-programs/

Polecamy również w kategorii Bezpieczeństwo