Program Windows Defender môže sťahovať škodlivé súbory a teraz ich môže spustiť služba Windows Update
2 min. čítať
Aktualizované na
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Hlásili sme to v septembri Windows Defender pridal možnosť sťahovať súbory prostredníctvom príkazového riadku pomocou aplikácie, napr
MpCmdRun.exe -DownloadFile -url [url] -path [cesta k_uloženiu_súboru]
... ktoré by sa mohli použiť na stiahnutie ľubovoľného binárneho súboru z internetu.
Aj keď nejde o exploit sám o sebe, táto funkcia umožňuje skriptu, ktorý dokáže spustiť príkazový riadok, a importovať ďalšie súbory z internetu pomocou natívnych takzvaných binárnych súborov Living-off-the-Land alebo LOLBIN.
Teraz bola podobná funkcia objavená v službe Windows Update, ktorá umožňuje hackerom spúšťať škodlivé súbory.
Bleeping Computer uvádza, že výskumník MDSec David Middlehurst zistil, že wuauclt môžu útočníci použiť aj na spustenie škodlivého kódu v systémoch Windows 10 jeho načítaním z ľubovoľnej špeciálne vytvorenej knižnice DLL s nasledujúcimi možnosťami príkazového riadka:
wuauclt.exe / UpdateDeploymentProvider [cesta k_dll] / RunHandlerComServer
Tento trik obchádza Windows User Account Control (UAC) alebo Windows Defender Application Control (WDAC) a dá sa použiť na získanie perzistencie na už ohrozených systémoch.
After making the discovery, he also discovered hackers had been first, as he found a sample using it in trick in the wild.
V reakcii na predchádzajúcu správu spoločnosť Microsoft zrušila možnosť sťahovať súbory z MpCmdRun.exe. Uvidí sa, ako Microsoft zareaguje na posledné odhalenie.
Prečítajte si viac podrobností v Bleepingcomputer tu.
