У вересні Pingvin Pro повідомляв, що Захисник Windows (Windows Defender) у Windows 10 отримав можливість завантаження файлів через командний рядок. Цей спосіб можна було використовувати для завантаження довільного двійкового файлу з Інтернету. Сама функція не є «дірою», але дозволяє сценаріям, що запускають командний рядок, імпортувати додаткові файли з Інтернету з використанням так званих «живих» бінарних файлів або LOLBIN.
- Дві найпопулярніші версії Windows 10 перестануть підтримуватися
- Microsoft запозичила для свого додатка SwiftKey функцію екосистеми Apple
- Уряд посилює кібербезпеку та кіберзахист України
Тепер аналогічна функція була виявлена у службі Windows Update, яка дозволяє хакерам запускати шкідливі файли. Дослідник MDSec Девід Мідлхерст виявив, що «wuauclt» також може використовуватися зловмисниками для виконання шкідливого коду у Windows 10. Цей код завантажується з довільної спеціально створеної бібліотеки DLL з наступними параметрами командного рядка:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Це відбувається в обхід контролю облікових записів Windows (UAC) або контролю додатків Захисника Windows (WDAC) і може використовуватися для забезпечення стійкості на вже скомпрометованих системах. Погана новина полягає у тому, що хакери вже використовують цей спосіб.
У відповідь на попередній звіт, Microsoft видалила можливість завантаження файлів з MpCmdRun.exe. Ще невідомо, як компанія відреагує на останнє викриття.