Pelanggan Pembaruan Windows baru saja ditambahkan ke daftar penyerang binari hidup-lepas-tanah (LoLBins) yang dapat digunakan untuk menjalankan kod jahat pada sistem Windows. Dimuat dengan cara ini, kod berbahaya dapat melewati mekanisme perlindungan sistem.
cara membatalkan netflix pada aplikasi
Sekiranya anda tidak biasa dengan LoLBins, itu adalah fail boleh laku yang ditandatangani Microsoft yang dimuat turun atau digabungkan dengan OS yang dapat digunakan pihak ketiga untuk mengelakkan pengesanan semasa memuat turun, memasang, atau menjalankan kod berbahaya. Pelanggan Windows Update (wuauclt) nampaknya salah satu dari mereka.
Alat ini terletak di bawah% windir% system32 wuauclt.exe, dan direka untuk mengawal Windows Update (beberapa ciri-cirinya) dari baris arahan.
Penyelidik MDSec David Middlehurst menemui bahawa wuauclt juga dapat digunakan oleh penyerang untuk menjalankan kod jahat pada sistem Windows 10 dengan memuatkannya dari DLL yang dibuat khas sewenang-wenangnya dengan pilihan baris perintah berikut:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerBahagian Full_Path_To_DLL adalah jalan mutlak ke fail DLL yang dibuat khas penyerang yang akan menjalankan kod pada lampiran. Dijalankan oleh klien Pembaruan Windows, ia memungkinkan penyerang memintas anti-virus, kawalan aplikasi, dan perlindungan pengesahan sijil digital. Perkara yang paling teruk ialah Middlehurst juga menemui sampel yang menggunakannya di alam liar.
bagaimana membenarkan lebih banyak ram untuk minecraft
Perlu diingat bahawa sebelumnya ditemukan bahawa Microsoft Defender termasuk kemampuan untuk memuat turun sebarang fail dari Internet dan memintas pemeriksaan keselamatan. Nasib baik, bermula di Windows Defender Antimalware Client versi 4.18.2009.2-0 Microsoft telah mengeluarkan pilihan yang sesuai dari aplikasi, dan ia tidak lagi dapat digunakan untuk muat turun fail yang tenang.
Sumber: Komputer Tidur
