Ứng dụng khách Windows Update vừa được thêm vào danh sách những kẻ tấn công có thể sử dụng mã nhị phân (LoLBins) sống-off-the-đất để thực thi mã độc trên hệ thống Windows. Được tải theo cách này, mã độc hại có thể vượt qua cơ chế bảo vệ hệ thống.
cách hủy netflix trên ứng dụng
Nếu bạn không quen thuộc với LoLBins, đó là những tệp thực thi được Microsoft ký tên tải xuống hoặc đi kèm với hệ điều hành có thể được bên thứ ba sử dụng để tránh bị phát hiện trong khi tải xuống, cài đặt hoặc thực thi mã độc hại. Ứng dụng khách Windows Update (wuauclt) dường như là một trong số chúng.
Công cụ này nằm trong% windir% system32 wuauclt.exe và được thiết kế để kiểm soát Windows Update (một số tính năng của nó) từ dòng lệnh.
Nhà nghiên cứu MDSec David Middlehurst đã khám phá ra wuauclt đó cũng có thể bị những kẻ tấn công sử dụng để thực thi mã độc hại trên hệ thống Windows 10 bằng cách tải nó từ một DLL được chế tạo đặc biệt tùy ý với các tùy chọn dòng lệnh sau:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Phần Full_Path_To_DLL là đường dẫn tuyệt đối đến tệp DLL được tạo thủ công đặc biệt của kẻ tấn công sẽ thực thi mã trên tệp đính kèm. Đang được chạy bởi máy khách Windows Update, nó cho phép những kẻ tấn công vượt qua bảo vệ chống vi-rút, kiểm soát ứng dụng và xác thực chứng chỉ kỹ thuật số. Điều tồi tệ nhất là Middlehurst cũng tìm thấy một mẫu sử dụng nó trong tự nhiên.
"chrome: // flags"
Điều đáng chú ý là trước đó người ta đã phát hiện ra rằng Microsoft Defender bao gồm khả năng tải xuống bất kỳ tệp nào từ Internet và vượt qua kiểm tra an ninh. May mắn thay, bắt đầu từ phiên bản Windows Defender Antimalware Client 4.18.2009.2-0, Microsoft đã xóa tùy chọn thích hợp khỏi ứng dụng và nó không còn có thể được sử dụng để tải xuống tệp yên tĩnh.
Nguồn: Máy tính Bleeping