Το Windows Defender μπορεί να κατεβάσει κακόβουλα αρχεία και τώρα το Windows Update μπορεί να τα εκτελέσει

Αναφέραμε τον Σεπτέμβριο ότι Το Windows Defender έχει προσθέσει τη δυνατότητα λήψης αρχείων μέσω της γραμμής εντολών χρησιμοποιώντας την εφαρμογή, π.χ.

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

… Το οποίο θα μπορούσε να χρησιμοποιηθεί για τη λήψη ενός αυθαίρετου δυαδικού από το Διαδίκτυο.

Αν και δεν αποτελεί από μόνη της εκμετάλλευση, η δυνατότητα επιτρέπει ένα σενάριο που μπορεί να ξεκινήσει τη γραμμή εντολών για την εισαγωγή περαιτέρω αρχείων από το Διαδίκτυο χρησιμοποιώντας εγγενή λεγόμενα δυαδικά αρχεία ή LOLBINs live-off-the-land.

Τώρα ένα παρόμοιο χαρακτηριστικό έχει ανακαλυφθεί στο Windows Update που επιτρέπει στους χάκερ να εκτελούν κακόβουλα αρχεία.

Το Bleeping Computer αναφέρει ότι ο ερευνητής του MDSec, David Middlehurst, ανακάλυψε ότι το wuauclt μπορεί επίσης να χρησιμοποιηθεί από εισβολείς για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows 10 φορτώνοντάς τον από ένα αυθαίρετο ειδικά διαμορφωμένο DLL με τις ακόλουθες επιλογές γραμμής εντολών:

wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer

Το τέχνασμα παρακάμπτει τον Έλεγχο λογαριασμού χρήστη των Windows (UAC) ή τον Έλεγχο εφαρμογών του Windows Defender (WDAC) και μπορεί να χρησιμοποιηθεί για την απόκτηση επιμονής σε συστήματα που έχουν ήδη παραβιαστεί.

After making the discovery, he also discovered hackers had been first, as he found a sample using it in trick in the wild.

Σε απάντηση στην προηγούμενη αναφορά, η Microsoft κατάργησε τη δυνατότητα λήψης αρχείων από το MpCmdRun.exe. Απομένει να δούμε πώς η Microsoft θα ανταποκριθεί στην τελευταία αποκάλυψη.

Διαβάστε περισσότερες λεπτομέρειες στο Bleepingcomputer εδώ.