Il client Windows Update è stato appena aggiunto all'elenco dei file binari viventi (LoLBin) che gli aggressori possono utilizzare per eseguire codice dannoso sui sistemi Windows. Caricato in questo modo, il codice dannoso può aggirare il meccanismo di protezione del sistema.
come vedere gli amici aggiunti di recente su facebook 2016
Se non si ha familiarità con LoLBin, si tratta di file eseguibili firmati da Microsoft scaricati o in bundle con il sistema operativo che possono essere utilizzati da terze parti per eludere il rilevamento durante il download, l'installazione o l'esecuzione di codice dannoso. Il client Windows Update (wuauclt) sembra essere uno di questi.
Lo strumento si trova in% windir% system32 wuauclt.exe ed è progettato per controllare Windows Update (alcune delle sue funzionalità) dalla riga di comando.
Ricercatore MDSec David Middlehurst ha scoperto che wuauclt può anche essere utilizzato dagli aggressori per eseguire codice dannoso sui sistemi Windows 10 caricandolo da una DLL arbitraria appositamente predisposta con le seguenti opzioni della riga di comando:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
La parte Full_Path_To_DLL è il percorso assoluto del file DLL appositamente predisposto dell'attaccante che eseguirà il codice al collegamento. Essendo in esecuzione dal client Windows Update, consente agli aggressori di aggirare la protezione antivirus, il controllo delle applicazioni e la convalida dei certificati digitali. La cosa peggiore è che anche Middlehurst ha trovato un campione che lo utilizzava in natura.
come rintracciare una chiamata senza ID chiamante
Vale la pena notare che in precedenza è stato scoperto che Microsoft Defender includeva la possibilità di scarica qualsiasi file da Internet e ignora i controlli di sicurezza. Fortunatamente, a partire dalla versione 4.18.2009.2-0 del client antimalware di Windows Defender, Microsoft ha rimosso l'opzione appropriata dall'app e non può più essere utilizzata per download di file silenziosi.
Fonte: Bleeping Computer