Защитник Windows может загружать вредоносные файлы, и теперь Центр обновления Windows может их запускать

В сентябре мы сообщали, что Защитник Windows добавил возможность скачивать файлы через командную строку с помощью приложения, например

MpCmdRun.exe -DownloadFile -url [url] -path [путь_к_файлу_сохранения]

… Который можно использовать для загрузки произвольного двоичного файла из Интернета.

Сама по себе эта функция не является эксплойтом, но позволяет сценарию, запускающему командную строку, импортировать дополнительные файлы из Интернета с использованием так называемых «живых» бинарных файлов или LOLBIN.

Теперь аналогичная функция была обнаружена в Центре обновления Windows, которая позволяет хакерам запускать вредоносные файлы.

Bleeping Computer сообщает, что исследователь MDSec Дэвид Миддлхерст обнаружил, что злоумышленники также могут использовать wuauclt для выполнения вредоносного кода в системах Windows 10, загружая его из произвольной специально созданной DLL со следующими параметрами командной строки:

wuauclt.exe / UpdateDeploymentProvider [путь_к_dll] / RunHandlerComServer

Уловка обходит контроль учетных записей Windows (UAC) или контроль приложений Защитника Windows (WDAC) и может использоваться для обеспечения устойчивости на уже скомпрометированных системах.

After making the discovery, he also discovered hackers had been first, as he found a sample using it in trick in the wild.

В ответ на предыдущий отчет Microsoft удалила возможность загрузки файлов из MpCmdRun.exe. Еще неизвестно, как Microsoft отреагирует на последнее разоблачение.

Читать подробнее на Bleepingcomputer здесь.