بروزرسانی ویندوز اجرای برنامه های مخرب را برای هکرها ممکن می نماید

به گزارش مجله همراهان، سرویس بروزرسانی ویندوز به تازگی به لیست باینری های LoLBins اضافه شده که به هکرها اجازه می دهد کدهای مخرب را روی سیستم های ویندوزی اجرا نمایند.

بروزرسانی ویندوز اجرای برنامه های مخرب را برای هکرها ممکن می نماید

به گزارش جام چم آنلاین به نقل از دیجیاتو، LoLBins فایل های اجرایی مایکروسافت هستند که به صورت پیش فرض روی سیستم نصب می شوند یا قابل دانلود هستند که هکرها می توانند از آن سوءاستفاده نمایند. مهاجمان می توانند با دور زدن مرحله شناسایی، کدهای مخرب را روی سیستم ها دانلود، نصب و اجرا نمایند.

علاوه بر امکان اجرای کدهای مخرب، هکرها می توانند از آن برای دور زدن کنترل حساب کاربری ویندوز (UAC) یا کنترل ویندوز دیفندر (WDAC) استفاده نمایند و به سیستم ها دسترسی پایدار پیدا نمایند.

WSUS یا Windows Update Client یک ابزار بوده که در windir%system32 واقع شده است و امکان کنترل بعضی از عملگرهای بروزرسانی ویندوز را از خط فرمان برای کاربران فراهم می نماید. توسط آن می توان آپدیت های جدید را آنالیز و بدون استفاده از رابط کاربری ویندوز، آن ها را نصب کرد.

با استفاده از گزینه ResetAuthorization/ می توان آنالیز دستی بروزرسانی جدید را روی سرور WSUS با تنظیمات محلی شروع کرد یا اینکه به سراغ سرویس بروزرسانی ویندوز رفت. با این حال یک محقق MDSec به نام دیوید میدلهرست به این موضوع پی برده که هکرها می توانند از Wuauclt برای اجرای کدهای مخرب روی سیستم های مجهز به ویندوز 10 استفاده نمایند.

این کار با بارگذاری یک DLL اختیاری با خط فرمان زیر امکان پذیر است:

wuauclt.exe /UpdateDeploymentProvider [path-to-dll] /RunHandlerComServer

همانطور که در اسکرین شات بالا مشاهده می کنید، Full-Path-To-DLL مسیری است که DLL ایجاد شده توسط مهاجم وارد شده و کد مخرب آن اجرا می گردد. این تکنیک توسط MITRE ATT&CK به عنوان اجرای پروکسی باینری به وسیله Rundll32 شناخته می گردد و مهاجمان را قادر می سازد تا آنتی ویروس، کنترل برنامه و محافظت از اعتبار گواهی دیجیتال را دور بزنند.

در این حمله مهاجمان چنین کاری را با اجرای کد مخرب به وسیله DLL انجام می دهند. مایکروسافت به تازگی آنتی ویروس مایکروسافت دیفندر را بروزرسانی نموده که روشی برای دانلود فایل ها را روی دستگاه های ویندوزی فراهم می نماید. پس از مدتی این کمپانی این قابلیت را از MpCmdRun.exe حذف کرد.

منبع: جام جم آنلاین
انتشار: 23 آبان 1399 بروزرسانی: 23 آبان 1399 گردآورنده: hmvd.ir شناسه مطلب: 1289

به "بروزرسانی ویندوز اجرای برنامه های مخرب را برای هکرها ممکن می نماید" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "بروزرسانی ویندوز اجرای برنامه های مخرب را برای هکرها ممکن می نماید"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید