Windows Update istemcisi, saldırganların Windows sistemlerinde kötü amaçlı kod yürütmek için kullanabilecekleri karada yaşayan ikili dosyalar (LoLBins) listesine eklendi. Bu şekilde yüklenen zararlı kod, sistem koruma mekanizmasını atlayabilir.
ev şu anda amazon yangın çubuğunda kullanılamıyor
LoLBins'e aşina değilseniz, bunlar, kötü amaçlı kod indirirken, yüklerken veya çalıştırırken tespit edilmekten kaçınmak için üçüncü bir tarafın kullanılabileceği, işletim sistemi ile birlikte indirilen Microsoft imzalı yürütülebilir dosyalardır. Windows Update istemcisi (wuauclt) bunlardan biri gibi görünüyor.
Araç% windir% system32 wuauclt.exe altında bulunur ve Windows Update'i (bazı özelliklerini) komut satırından kontrol etmek için tasarlanmıştır.
MDSec araştırmacısı David Middlehurst keşfetti Bu wuauclt, saldırganlar tarafından, aşağıdaki komut satırı seçenekleriyle özel olarak hazırlanmış rastgele bir DLL dosyasından yükleyerek Windows 10 sistemlerinde kötü amaçlı kod yürütmek için de kullanılabilir:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
Full_Path_To_DLL kısmı, saldırganın eklentide kod çalıştıracak özel hazırlanmış DLL dosyasının mutlak yoludur. Windows Update istemcisi tarafından çalıştırıldığından, saldırganların virüsten korunma, uygulama denetimi ve dijital sertifika doğrulama korumasını atlamasına olanak tanır. En kötüsü, Middlehurst'ün de onu vahşi ortamda kullanan bir örnek bulmasıdır.
google docs'ta arkaya resim nasıl gönderilir
Daha önce Microsoft Defender'ın şu yetenekleri içerdiği keşfedildiğini belirtmek gerekir. İnternetten herhangi bir dosyayı indirin ve güvenlik kontrollerini atlayın. Neyse ki, Windows Defender Zararlı Yazılım Önleme İstemcisi 4.18.2009.2-0 sürümünden başlayarak Microsoft, uygun seçeneği uygulamadan kaldırdı ve artık sessiz dosya indirmeleri için kullanılamaz.
Kaynak: Bleeping Bilgisayar