Af Eskil Sørensen, 13/10/20
Windows' opdateringsklient er fornyligt blev tilføjet til listen af ”living off the land binaries”, hvor angribere kan eksekvere ondsindet kode på Windowssystemer. Det skriver Bleeping Computer.
”Living off the land binaries” eller bedre kendt som LoLBins er eksekverbare filer, som bruger legitime systemværktøjer. Disse filer kan være forudinstalleret eller downloadet til systemet og kan misbruges af angribere for at undgå afsløring, alt imens de downloader, installerer eller eksekverer ondsindet kode på Windows-systemet. Nogle af formålene med LoLBins kan være at omgå Windows Defender Application Control (WDAC) eller Windows User Account Control (UAC), hvilket vil gøre dem i stand til at få vedvarende adgang på systemet.
Ondsindet kode kan eksekveres ved brug af ondsindede DLLs
Windows opdateringsklient er et systemværktøj, lokaliseret i %windir%\system32\, hvilket giver brugeren delvis kontrol over nogle af Windows’ opdateringsfunktionaliteter fra kommandolinen.
Den tillader tjek efter nye opdateringer samt mulighed for at installere opdateringerne uden brug af Windows User Interface, men i stedet kommandolinen. Ved brug af /ResetAuthorization tillades et manuelt opdateringstjek igennem Windows Opdateringsservice.
Udover at kunne omgå UAC på en Windowsenhed ved brug af kommandolinen har en forsker ved navn David Middlehurst fundet, at en Microsoft binær fil, wuauclt, ligeledes kan bruges til at eksekvere ondsindede kode på Windows 10 enheder ved at loade koden gennem en speciel fremstillet DLL (Dynamic-link library). Ved at referere til den specielt fremstillede DLL i kommandolinen kan angriberen eksekvere koden.
Forsøg på at rette fejlen
Microsoft har tidligere frigivet en opdatering til Microsoft Defender, som førte en åbning til at kunne downloade filer på Windows enheder med sig. Men denne mulighed er så senere blevet fjernet fra Microsofts Antimalwareservice.