تمت إضافة عميل Windows Update للتو إلى قائمة الثنائيات التي تعيش خارج الأرض (LoLBins) التي يمكن للمهاجمين استخدامها لتنفيذ تعليمات برمجية ضارة على أنظمة Windows. بهذه الطريقة ، يمكن للرمز الضار تجاوز آلية حماية النظام.
كيف تتحقق من ذاكرة الوصول العشوائي الخاصة بك
إذا لم تكن معتادًا على LoLBins ، فهذه ملفات قابلة للتنفيذ موقعة من Microsoft أو يتم تنزيلها مع نظام التشغيل الذي يمكن استخدامه من قبل جهة خارجية لتجنب الاكتشاف أثناء تنزيل أو تثبيت أو تنفيذ تعليمات برمجية ضارة. يبدو أن عميل Windows Update (wuauclt) هو واحد منهم.
الأداة موجودة ضمن٪ windir٪ system32 wuauclt.exe ، وهي مصممة للتحكم في Windows Update (بعض ميزاته) من سطر الأوامر.
باحث MDSec اكتشف ديفيد ميدلهيرست يمكن أيضًا للمهاجمين استخدام wuauclt لتنفيذ تعليمات برمجية ضارة على أنظمة Windows 10 عن طريق تحميلها من ملف DLL تم تصميمه خصيصًا باستخدام خيارات سطر الأوامر التالية:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerالجزء Full_Path_To_DLL هو المسار المطلق لملف DLL المصمم خصيصًا للمهاجم والذي سينفذ التعليمات البرمجية عند الإرفاق. يجري تشغيله بواسطة عميل Windows Update ، فهو يمكّن المهاجمين من تجاوز مكافحة الفيروسات والتحكم في التطبيقات وحماية التحقق من صحة الشهادات الرقمية. أسوأ شيء هو أن ميدلهيرست عثر أيضًا على عينة تستخدمها في البرية.
كيفية البحث في كريغزلست حسب الولاية وليس المدينة
ومن الجدير بالذكر أنه تم اكتشاف أن برنامج Microsoft Defender يتضمن القدرة على قم بتنزيل أي ملف من الإنترنت وتجاوز الفحوصات الأمنية. لحسن الحظ ، بدءًا من الإصدار 4.18.2009.2-0 من Windows Defender Antimalware Client ، قامت Microsoft بإزالة الخيار المناسب من التطبيق ، ولم يعد من الممكن استخدامه لتنزيل الملفات الهادئة.
مصدر: كمبيوتر نائم
