We wrześniu pisaliśmy o funkcji Windows Defender, która wzbudziła obawy badaczy zabezpieczeń. Chodzi konkretnie o pobieranie plików poprzez Wiersz poleceń, w tym arbitralne binarki. Badacze uznali, że może ona poszerzać powierzchnię ataku w Windows, choć Microsoft był odmiennego zdania. Zmienił je dopiero po czasie. Teraz okazało się, że podobną funkcjonalność posiada też Windows Update.
Choć w przypadku Microsoft Defendera nie ma mowy o exploicie, funkcjonalność umożliwiała działanie skryptu, który może uruchomić Wiersz poleceń, aby importować kolejne pliki z Internetu z użyciem natywnych binarek, tzw. living-off-the-land albo LOLBINs. Teraz podobną funkcjonalność odkryto w Windows Update. Może ona pomóc hakerom w uruchamianiu złośliwych plików wykonywalnych.
Badacz zabezpieczeń z MDSec, David Middlehurst, odkrył, że wuauclt może być użyty przez atakujących do wykonania złośliwego kodu w Windows 10, ładując go z arbitralnego, specjalnie spreparowanego DLL z odpowiednimi opcjami wiersza poleceń: wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer.
Sztuczka ta pozwala obejść kontrolę konta użytkownika (Windows User Account Control - UAC) i kontrolę aplikacji Defendera (Windows Defender Application Control - WDAC). Może też wzmocnić kontrolę nad już przejętymi systemami. Po odkryciu tej metody Middlehurst zauważył, że hakerzy już o niej wiedzieli. Badacz znalazł próbkę wskazującą na użycie tej sztuczki "w dziczy".
W odpowiedzi na wcześniejszy raport Microsoft usunął możliwość pobierania plików z MpCmdRun.exe (Microsoft Antimalware Service Command Line Utility). Nie wiemy jeszcze, jak zareaguje na ten, choć spodziewamy się, że postąpi tak samo.
341f31d.png)