Klijent Windows Update upravo je dodan na popis binarnih datoteka koje žive izvan zemlje (LoLBins), a koje napadači mogu koristiti za izvršavanje zlonamjernog koda na Windows sustavima. Ovako napunjen, štetni kod može zaobići mehanizam zaštite sustava.
kako vidjeti nekoga tko je nedavno dodao prijatelje na facebook 2016
Ako niste upoznati s LoLBins-om, to su izvršne datoteke s Microsoftovim potpisom koje se preuzimaju ili isporučuju s OS-om i koje se mogu koristiti za uklanjanje otkrivanja prilikom preuzimanja, instaliranja ili izvršavanja zlonamjernog koda. Čini se da je klijent za Windows Update (wuauclt) jedan od njih.
Alat se nalazi pod% windir% system32 wuauclt.exe i dizajniran je za kontrolu Windows Update (neke od njegovih značajki) iz naredbenog retka.
MDSec istraživač David Middlehurst otkrio da napadači wuauclt mogu koristiti i za izvršavanje zlonamjernog koda na sustavima Windows 10 učitavanjem iz proizvoljnog posebno izrađenog DLL-a sa sljedećim opcijama naredbenog retka:
wuauclt.exe / UpdateDeploymentProvider [put_do_dll] / RunHandlerComServer
Dio Full_Path_To_DLL apsolutni je put do posebno izrađene DLL datoteke napadača koja bi izvršavala kod na privitku. Biti pokrenut od strane klijenta Windows Update, omogućuje napadačima da zaobiđu antivirusnu zaštitu, kontrolu aplikacija i zaštitu valjanosti digitalnih certifikata. Najgore je što je Middlehurst također pronašao uzorak koristeći ga u divljini.
kako doći do mog minecraft poslužitelja ip
Vrijedno je napomenuti da je ranije otkriveno da je Microsoft Defender sadržavao mogućnost preuzmite bilo koju datoteku s Interneta i zaobići sigurnosne provjere. Srećom, počevši od verzije 4.18.2009.2-0 klijenta Windows Defender Antimalware, Microsoft je uklonio odgovarajuću opciju iz aplikacije i više se ne može koristiti za tiho preuzimanje datoteka.
Izvor: Bleeping Computer