Центр обновления Windows может использоваться для выполнения вредоносного кода

Клиент Центра обновления Windows может быть проэксплуатирован злоумышленниками для выполнения вредоносного кода на системе в рамках метода Living off the Land (LotL).

Клиент Windows Server Update Services (WSUS)/Windows Update Client (wuauclt) представляет собой служебную программу, расположенную в %windir%\system32\, которая предоставляет пользователям частичный контроль над некоторыми функциями агента обновления Windows из командной строки. Она позволяет проверять наличие новых обновлений и устанавливать их без использования пользовательского интерфейса Windows.

Использование параметра /ResetAuthorization позволяет инициировать ручную проверку обновлений либо на локально настроенном сервере WSUS, либо через службу Windows Update.

Однако исследователь Дэвид Миддлхерст (David Middlehurst) из компании MDSec обнаружил , что wuauclt также может использоваться злоумышленниками для выполнения вредоносного кода на системах под управлением Windows 10 путем его загрузки из произвольной специально созданной DLL-библиотеки со следующими параметрами командной строки:

  • wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

В базе знаний MITER ATT&CK данный метод обхода защиты классифицирован как «Выполнение подписанного двоичного прокси через Rundll32», позволяющее злоумышленникам обойти антивирусную защиту, контроль приложений и проверки цифровых сертификатов.

Исследователь безопасности также обнаружил образец, использующийся в реальных атаках.

LoLBins — исполняемые файлы, подписанные Microsoft (предварительно установленные или загруженные), которые могут использоваться злоумышленниками для избегания обнаружения при загрузке, установке или выполнении вредоносного кода. Они также могут использоваться злоумышленниками для обхода контроля учетных записей пользователей (User Account Control, UAC), контроля приложений Защитника Windows (Windows Defender Application Control, WDAC) или обеспечения персистентности на скомпрометированной системе.

Источник: https://www.securitylab.ru/news/512973.php