Windows Update se puede utilizar incorrectamente para ejecutar programas maliciosos

Windows Update se puede utilizar incorrectamente para ejecutar archivos maliciosos

El cliente de Windows Update se acaba de agregar a la lista de binarios vivos (LoLBins) que los atacantes pueden usar para ejecutar código malicioso en sistemas Windows.

Los LoLBins son ejecutables firmados por Microsoft (preinstalados o descargados) que los autores de amenazas pueden utilizar indebidamente para evadir la detección al descargar, instalar o ejecutar código malicioso.

También pueden ser utilizados por atacantes en sus esfuerzos por eludir el Control de cuentas de usuario de Windows (UAC) o el Control de aplicaciones de Windows Defender (WDAC) y lograr la persistencia en sistemas ya comprometidos.

Índice de contenidos
  1. Ejecución de código malicioso utilizando DLL maliciosos

Ejecución de código malicioso utilizando DLL maliciosos

WSUS / Windows Update Client (wuauclt) es una utilidad ubicada en % windir% system32 que brinda a los usuarios un control parcial sobre algunas de las funciones del Agente de Windows Update desde la línea de comandos.

Le permite buscar nuevas actualizaciones e instalarlas sin tener que usar la interfaz de usuario de Windows, sino activarlas desde una ventana de símbolo del sistema.

Utilizando el / ResetAuthorization La opción le permite iniciar una búsqueda manual de actualizaciones en el servidor WSUS configurado localmente o mediante el servicio Windows Update. según Microsoft.

Sin embargo, el investigador de MDSec David Middlehurst se enteró que los atacantes también pueden utilizar wuauclt para ejecutar código malicioso en sistemas Windows 10 cargándolo desde una DLL arbitraria especialmente diseñada con las siguientes opciones de línea de comando:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Cliente de actualización de Windows lolbin
Imagen: David Middlehurst

Como se ve en la captura de pantalla anterior, Full_Path_To_DLL es la ruta absoluta al archivo DLL especialmente diseñado del atacante que ejecutará el código adjunto.

Esta técnica de evasión defensiva está clasificada por MITRE ATT & CK como Ejecución de proxy binario firmada a través de Rundll32 y permite a los atacantes eludir el antivirus, el control de aplicaciones y la protección de validación de certificados digitales

En este caso, lo hace ejecutando código malicioso desde una DLL cargada con un binario firmado por Microsoft, el cliente de Windows Update (wuauclt).

Después de descubrir que wuauclt también se puede utilizar como LoLBin, Middlehurst también encontré una muestra usándolo en la naturaleza.

Microsoft actualizó recientemente la solución antivirus Microsoft Defender para Windows 10, agregando irónica y silenciosamente una forma de descargar archivos (potencialmente maliciosos) en dispositivos Windows.

Guía de MpCmdRun
Guía de MpCmdRun

Posteriormente, Microsoft eliminó la funcionalidad de MpCmdRun.exe (la utilidad de línea de comandos del servicio Microsoft Antimalware).

El mes pasado, BleepingComputer también informó que el comando TCPIP Finger de Microsoft Windows también se puede usar como un descargador de archivos y un servidor de comando y control sustituto (C3) para la exfiltración de datos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: NELIDA HAYDEE SALDIVIA.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a KnownHost que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad
Change privacy settings