سرویس بروزرسانی ویندوز به تازگی به لیست باینریهای «LoLBins» اضافه شده که به هکرها اجازه میدهد کدهای مخرب را روی سیستمهای ویندوزی اجرا کنند.
LoLBins فایلهای اجرایی مایکروسافت هستند که به صورت پیش فرض روی سیستم نصب میشوند یا قابل دانلود هستند که هکرها میتوانند از آن سوءاستفاده کنند. مهاجمان میتوانند با دور زدن مرحله شناسایی، کدهای مخرب را روی سیستمها دانلود، نصب و اجرا کنند.
علاوه بر امکان اجرای کدهای مخرب، هکرها میتوانند از آن برای دور زدن کنترل حساب کاربری ویندوز (UAC) یا کنترل ویندوز دیفندر (WDAC) استفاده کنند و به سیستمها دسترسی پایدار پیدا کنند.
WSUS یا Windows Update Client یک ابزار بوده که در \windir%\system32 قرار دارد و امکان کنترل برخی از عملگرهای بروزرسانی ویندوز را از خط فرمان برای کاربران فراهم میکند. توسط آن میتوان آپدیتهای جدید را بررسی و بدون استفاده از رابط کاربری ویندوز، آنها را نصب کرد.
با استفاده از گزینه ResetAuthorization/ میتوان بررسی دستی بروزرسانی جدید را روی سرور WSUS با تنظیمات محلی آغاز کرد یا اینکه به سراغ سرویس بروزرسانی ویندوز رفت. با این حال یک محقق MDSec به نام «دیوید میدلهرست» به این موضوع پی برده که هکرها میتوانند از «Wuauclt» برای اجرای کدهای مخرب روی سیستمهای مجهز به ویندوز ۱۰ استفاده کنند.
این کار با بارگذاری یک DLL اختیاری با خط فرمان زیر امکانپذیر است:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
همانطور که در اسکرینشات بالا مشاهده میکنید، «Full_Path_To_DLL» مسیری است که DLL ایجاد شده توسط مهاجم وارد شده و کد مخرب آن اجرا میشود. این تکنیک توسط «MITRE ATT&CK» به عنوان «اجرای پروکسی باینری از طریق Rundll32» شناخته میشود و مهاجمان را قادر میسازد تا آنتیویروس، کنترل برنامه و محافظت از اعتبار گواهی دیجیتال را دور بزنند.
در این حمله مهاجمان چنین کاری را با اجرای کد مخرب از طریق DLL انجام میدهند. مایکروسافت به تازگی آنتی ویروس مایکروسافت دیفندر را بروزرسانی کرده که روشی برای دانلود فایلها را روی دستگاههای ویندوزی فراهم میکند. پس از مدتی این کمپانی این قابلیت را از MpCmdRun.exe حذف کرد.
