Клиент Центра обновления Windows только что был добавлен в список живых двоичных файлов (LoLBins), которые злоумышленники могут использовать для выполнения вредоносного кода в системах Windows. Загруженный таким образом вредоносный код может обойти механизм защиты системы.
Если вы не знакомы с LoLBins, это исполняемые файлы, подписанные Microsoft, загружаемые или связанные с ОС, которые могут использоваться третьей стороной для уклонения от обнаружения при загрузке, установке или выполнении вредоносного кода. Клиент Центра обновления Windows (wuauclt), похоже, является одним из них.
Инструмент находится в папке% windir% system32 wuauclt.exe и предназначен для управления Центром обновления Windows (некоторыми его функциями) из командной строки.
Исследователь MDSec Дэвид Миддлхерст обнаружил , что wuauclt также может использоваться злоумышленниками для выполнения вредоносный код в системах Windows 10 путем загрузки его из произвольной специально созданной библиотеки DLL со следующими параметрами командной строки:
wuauclt.exe/UpdateDeploymentProvider [path_to_dll]/RunHandlerComServer
Часть Full_Path_To_DLL – это абсолютный путь к специально созданному файлу DLL злоумышленника, который будет выполнять код при присоединении. Будучи запущенным клиентом Центра обновления Windows, он позволяет злоумышленникам обойти защиту от вирусов, контроля приложений и проверки цифровых сертификатов. Хуже всего то, что Миддлхерст также нашел образец, использующий его в дикой природе.
Стоит отметить, что ранее было обнаружено, что Microsoft Defender включает возможность загружать любой файл из Интернета и обходить проверки безопасности. К счастью, начиная с версии 4.18.2009.2-0 клиента защиты от вредоносных программ Защитника Windows, Microsoft удалила соответствующий параметр из приложения, и его больше нельзя использовать для тихой загрузки файлов.
Источник: Bleeping Computer
‘);