Cảnh báo Windows Update bị lạm dụng để thực thi các tệp độc hại | Công nghệ

0
82

Ứng dụng Windows Update trên các máy tính của người dùng vừa được thêm vào danh sách những kẻ tấn công có thể sử dụng mã nhị phân (LoLBins – living-off-the-land binary) để thực thi mã độc trên hệ thống Windows. Các mã nhị phân này cũng có thể bị kẻ tấn công sử dụng để cố vượt qua Windows UAC hoặc Windows WDAC nhằm tồn tại trên các hệ thống bị xâm phạm.

WSUS/Windows Update client (wuauclt) là một tiện ích nằm ở thư mục hệ thống %windir%system32 và cung cấp cho người dùng quyền kiểm soát một phần đối với một số chức năng của Windows Update Agent từ dòng lệnh. Nó cho phép kiểm tra các bản cập nhật mới và cài đặt chúng mà không cần phải sử dụng giao diện người dùng Windows mà thay vào đó kích hoạt chúng từ cửa sổ dòng lệnh Command Prompt.

Từ đó tin tặc có thể thực hiện việc tấn công bằng cách thực thi mã độc hại từ một tệp DLL được tải bằng tệp nhị phân Microsoft đã xác nhận chữ ký, đó là Windows Update (wuauclt).

Microsoft gần đây cập nhật ứng dụng chống virus Microsoft Defender của Windows 10, nhưng đó cũng là điều trớ trêu và âm thầm bổ sung một cách để tải xuống các tệp (có khả năng độc hại) trên các thiết bị Windows. Microsoft sau đó loại bỏ khả năng này khỏi MpCmdRun.exe (Microsoft Antimalware Service Command Line Utility).




Nguồn

LEAVE A REPLY

Please enter your comment!
Please enter your name here