Windows Defender lahko prenese zlonamerne datoteke in zdaj jih lahko izvaja Windows Update
2 min. prebrati
Posodobljeno dne
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
To smo poročali septembra Windows Defender je dodal možnost prenosa datotek prek ukazne vrstice z uporabo aplikacije, npr
MpCmdRun.exe -DownloadFile -url [url] -pot [path_to_save_file]
… Ki bi ga lahko uporabili za prenos naključnega binarnega zapisa z interneta.
Funkcija sicer ni izkoriščanje, vendar omogoča skriptu, ki lahko zažene ukazno vrstico za uvoz nadaljnjih datotek iz interneta z uporabo domačih tako imenovanih binarnih datotek, ki živijo od zemlje, ali LOLBIN-ov.
Zdaj je bila podobna funkcija odkrita v Windows Update, ki hekerjem omogoča izvajanje zlonamernih datotek.
Bleeping Computer poroča, da je raziskovalec MDSec David Middlehurst odkril, da lahko napadalci uporabljajo tudi wuauclt za izvajanje zlonamerne kode v sistemih Windows 10, tako da jo naložijo iz poljubne, posebej izdelane DLL z naslednjimi možnostmi ukazne vrstice:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Trik zaobide nadzor uporabniških računov Windows (UAC) ali nadzor aplikacij Windows Defender (WDAC) in ga je mogoče uporabiti za pridobitev obstojnosti na že ogroženih sistemih.
Po odkritju je ugotovil tudi, da so bili hekerji prvi, saj je našel vzorec, ki ga uporablja v triku v naravi.
V odgovor na prejšnje poročilo je Microsoft odstranil možnost prenosa datotek iz MpCmdRun.exe. Treba bo še videti, kako se bo Microsoft odzval na zadnje razkritje.
Preberite več podrobnosti pri Bleepingcomputerju tukaj.