Os hackers podem explorar o cliente Windows Update para executar códigos maliciosos no sistema como parte do Living off the Land (LoteL) método.
Os serviços de atualização do Windows Server (WSUS)/Cliente de atualização do Windows (wuauclt) é um utilitário localizado em %windir%system32 que oferece aos usuários controle parcial da linha de comando sobre algumas das funcionalidades do Windows Update Agent.
Permite verificar novas atualizações e instalá-las sem usar a interface de usuário do Windows.
Usar o parâmetro /ResetAuthorization permite iniciar verificações manuais de atualização, em um servidor WSUS configurado localmente ou por meio do Windows Update.
No entanto, investigador David Middlehurst do MDSec descoberto que os invasores também podem usar o wuauclt para executar código malicioso no Windows 10 sistemas.
“Hoje eu queria compartilhar algo um pouco mais suculento. O cliente do Windows Update (wuauclt.exe) é um pouco evasivo com apenas um pequeno número de artigos da Microsoft sobre isso e esses artigos não parecem documentar todas as opções de linha de comando disponíveis”, – intriga David Middlehurst.
O pesquisador descobriu que o wuauclt poderia ser usado por cibercriminosos, carregando-o a partir de uma DLL arbitrária especialmente criada com os seguintes parâmetros de linha de comando:
- wuauclt.exe/UpdateDeploymentProvider [caminho_para_dll]/RunHandlerComServer.
A MITRA EM & A base de conhecimento CK classifica este método de desvio como “Executando um proxy binário assinado através do Rundll32”, permitindo que invasores contornem a proteção antivírus, controle de aplicativos, e verificação de certificado digital.
O pesquisador de segurança também descobriu uma amostra do Joe Sandbox usado em ataques da vida real.
“Depois de descobrir este LOLBIN de forma independente, uma breve pesquisa destacou uma amostra do Joe Sandbox aproveitando-o na natureza”, - relatou David Middlehurst.
LoLBins são assinados pela Microsoft (pré-instalado ou baixado) arquivos executáveis que podem ser usados por invasores para evitar a detecção durante o download, instalar ou executar código malicioso.
Os hackers também podem usá-los para contornar o controle de conta de usuário (UAC), controlar o Controle de Aplicativos do Windows Defender (WDAC), ou fornecer persistência em um sistema comprometido.
Deixe-me lembrá-lo sobre o fato de que O Windows EFS também pode ajudar os criptografadores e dificultar o trabalho dos antivírus.