بروزرسانی ویندوز اجرای برنامه‌های مخرب را برای هکرها ممکن می‌کند

سرویس بروزرسانی ویندوز به تازگی به لیست باینری‌های «LoLBins» اضافه شده که به هکرها اجازه می‌دهد کدهای مخرب را روی سیستم‌های ویندوزی اجرا کنند.

LoLBins فایل‌های اجرایی مایکروسافت هستند که به صورت پیش فرض روی سیستم نصب می‌شوند یا قابل دانلود هستند که هکرها می‌توانند از آن سوءاستفاده کنند. مهاجمان می‌توانند با دور زدن مرحله شناسایی، کدهای مخرب را روی سیستم‌ها دانلود، نصب و اجرا کنند.

علاوه بر امکان اجرای کدهای مخرب، هکرها می‌توانند از آن برای دور زدن کنترل حساب کاربری ویندوز (UAC) یا کنترل ویندوز دیفندر (WDAC) استفاده کنند و به سیستم‌ها دسترسی پایدار پیدا کنند.

WSUS یا Windows Update Client یک ابزار بوده که در \windir%\system32 قرار دارد و امکان کنترل برخی از عملگرهای بروزرسانی ویندوز را از خط فرمان برای کاربران فراهم می‌کند. توسط آن می‌توان آپدیت‌های جدید را بررسی و بدون استفاده از رابط کاربری ویندوز، آن‌ها را نصب کرد.

با استفاده از گزینه ResetAuthorization/ می‌توان بررسی دستی بروزرسانی جدید را روی سرور WSUS با تنظیمات محلی آغاز کرد یا اینکه به سراغ سرویس بروزرسانی ویندوز رفت. با این حال یک محقق MDSec به نام «دیوید میدلهرست» به این موضوع پی برده که هکرها می‌توانند از «Wuauclt» برای اجرای کدهای مخرب روی سیستم‌های مجهز به ویندوز ۱۰ استفاده کنند.

این کار با بارگذاری یک DLL اختیاری با خط فرمان زیر امکان‌پذیر است:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

همانطور که در اسکرین‌شات بالا مشاهده می‌کنید، «Full_Path_To_DLL» مسیری است که DLL ایجاد شده توسط مهاجم وارد شده و کد مخرب آن اجرا می‌شود. این تکنیک توسط «MITRE ATT&CK» به عنوان «اجرای پروکسی باینری از طریق Rundll32» شناخته می‌شود و مهاجمان را قادر می‌سازد تا آنتی‌ویروس، کنترل برنامه و محافظت از اعتبار گواهی دیجیتال را دور بزنند.

در این حمله مهاجمان چنین کاری را با اجرای کد مخرب از طریق DLL انجام می‌دهند. مایکروسافت به تازگی آنتی ویروس مایکروسافت دیفندر را بروزرسانی کرده که روشی برای دانلود فایل‌ها را روی دستگاه‌های ویندوزی فراهم می‌کند. پس از مدتی این کمپانی این قابلیت را از MpCmdRun.exe حذف کرد.