Los piratas informáticos pueden aprovechar el cliente de Windows Update para ejecutar código malicioso en el sistema como parte de Living off the Land. (muchol) método.
Los servicios de actualización de Windows Server (WSUS (en inglés))/Cliente de actualización de Windows (wuauclt) es una utilidad ubicada en %windir%system32 que brinda a los usuarios control parcial de la línea de comandos sobre algunas de las funciones del Agente de Windows Update.
Permite buscar nuevas actualizaciones e instalarlas sin utilizar la interfaz de usuario de Windows..
El uso del parámetro /ResetAuthorization permite iniciar comprobaciones de actualización manuales, ya sea en un servidor WSUS configurado localmente o mediante Windows Update.
Sin embargo, investigador David Middlehurst de MDSec descubierto que los atacantes también pueden usar wuauclt para ejecutar código malicioso en Windows 10 sistemas.
“Hoy quería compartirles algo un poco más jugoso.. El cliente de actualización de Windows (wuauclt.exe) es un poco esquivo con solo una pequeña cantidad de artículos de Microsoft al respecto y estos artículos no parecen documentar todas las opciones de línea de comando disponibles», – intriga a David Middlehurst.
El investigador descubrió que los ciberdelincuentes podrían utilizar wuauclt cargándolo desde una DLL arbitraria especialmente diseñada con los siguientes parámetros de línea de comando:
- wuauclt.exe/UpdateDeploymentProvider [ruta_a_dll]/EjecutarHandlerComServer.
La inglete en & La base de conocimientos de CK clasifica este método de derivación como «Ejecutando un proxy binario firmado a través de Rundll32», permitir a los atacantes eludir la protección antivirus, control de aplicaciones, y verificación de certificado digital.
El investigador de seguridad también descubrió una muestra de Joe Sandbox utilizado en ataques de la vida real..
"Después de descubrir este LOLBIN de forma independiente, una breve búsqueda destacó una muestra de Joe Sandbox aprovechándolo en la naturaleza", – informó David Middlehurst.
Los LoLBins están firmados por Microsoft (preinstalado o descargado) Archivos ejecutables que pueden ser utilizados por atacantes para evadir la detección al descargar., instalar o ejecutar código malicioso.
Los piratas informáticos también pueden utilizarlos para eludir el control de cuentas de usuario. (UAC), controlar el control de aplicaciones de Windows Defender (WDAC), o proporcionar persistencia en un sistema comprometido.
Déjame recordarte que sobre el hecho de que Windows EFS también puede ayudar a los cifradores y dificultar el trabajo de los antivirus.