Logo Tom's Hardware

Windows Update può essere sfruttato per l'esecuzione di malware

Windows Update può essere sfruttato dagli aggressori informatici come living-off-the-land binary (LoLBin) per l'esecuzione di codice malevolo.

Avatar di Luca Zaninello

a cura di Luca Zaninello

Managing Editor

Un nuovo problema affligge gli utenti di Windows 10: Windows Update può essere sfruttato dagli aggressori informatici come living-off-the-land binary (LoLBin) per l'esecuzione di codice malevolo. Sembra non ci sia pace per il sistema di Microsoft…

windows-10-copertina-28921.jpg

Per farla breve, i cosiddetti LoLBin sono programmi firmati da Microsoft e ritenuti sicuri dal sistema che possono essere sfruttati dai malintenzionati per l'esecuzione, il download o l'installazione di codice malevolo, evitando i sistemi di protezione e la rilevazione. Possono anche essere utilizzati dagli aggressori per aggirare il Windows User Account Control (UAC) o il Windows Defender Application Control (WDAC) e per guadagnare persistenza su sistemi già compromessi.

In questo caso, l'attacco scoperto dal ricercatore per la sicurezza di MDSec David Middlehurst, viene condotto tramite l'eseguibile wuauclt (Windows Update client) situato in %windir%system32 che permette all'utente un controllo parziale delle funzionalità di Windows Update da linea di comando. Questo eseguibile permette di controllare, scaricare e installare gli aggiornamenti senza avere accesso all'interfaccia grafica di Windows.

Come riportato da BleepingComputer, il ricercatore ha scoperto che wuauclt può essere utilizzato per l'esecuzione di codice malevolo in Windows 10 dopo averlo caricato tramite una DLL creata appositamente per lo scopo utilizzando il seguente comando:

"wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer"

Dove [path_to_dll] è ovviamente il percorso dov'è situata la libreria compromessa o malevola che eseguirà il codice necessario per l'attacco. Questo genere di attacco informatico è categorizzato come MITRE ATT&CK as Signed Binary Proxy Execution via Rundll32 e permette di evitare il rilevamento da parte degli antivirus e di tutti gli altri sistemi di sicurezza di Windows.

generica-119133.jpg

Dopo aver scoperto questo tipo di attacco, Mittlehurst ha persino trovato che qualcuno stava già sfruttando questa falla di sicurezza.

Avete bisogno di una licenza di Windows 10 Pro le il vostro nuovissimo PC da gaming? Su Amazon è disponibile a soli 9,90 euro, non perdetevela.
Leggi altri articoli