Klien Pembaruan Windows baru saja ditambahkan ke daftar penyerang binari yang tinggal di luar negeri (LoLBins) yang dapat digunakan untuk mengeksekusi kode berbahaya pada sistem Windows. Dimuat dengan cara ini, kode berbahaya dapat melewati mekanisme perlindungan sistem.
apa arti abu-abu di snapchat
Jika Anda tidak terbiasa dengan LoLBins, itu adalah file yang dapat dieksekusi bertanda tangan Microsoft yang diunduh atau digabungkan dengan OS yang dapat digunakan pihak ketiga untuk menghindari deteksi saat mengunduh, menginstal, atau menjalankan kode berbahaya. Klien Pembaruan Windows (wuauclt) tampaknya salah satunya.
Alat ini terletak di bawah% windir% system32 wuauclt.exe, dan dirancang untuk mengontrol Pembaruan Windows (beberapa fiturnya) dari baris perintah.
Peneliti MDSec David Middlehurst ditemukan bahwa wuauclt juga dapat digunakan oleh penyerang untuk mengeksekusi kode berbahaya pada sistem Windows 10 dengan memuatnya dari DLL yang dibuat khusus secara arbitrer dengan opsi baris perintah berikut:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Bagian Full_Path_To_DLL adalah jalur absolut ke file DLL penyerang yang dibuat secara khusus yang akan mengeksekusi kode saat dilampirkan. Sedang dijalankan oleh klien Pembaruan Windows, ini memungkinkan penyerang untuk melewati anti-virus, kontrol aplikasi, dan perlindungan validasi sertifikat digital. Hal terburuk adalah bahwa Middlehurst juga menemukan sampel yang menggunakannya di alam liar.
cara memindahkan game steam ke drive lain
Perlu dicatat bahwa sebelumnya ditemukan bahwa Microsoft Defender menyertakan kemampuan untuk itu unduh file apa pun dari Internet dan melewati pemeriksaan keamanan. Untungnya, memulai Windows Defender Antimalware Client versi 4.18.2009.2-0 Microsoft telah menghapus opsi yang sesuai dari aplikasi, dan itu tidak dapat lagi digunakan untuk mengunduh file secara diam-diam.
Sumber: Komputer Bleeping