Software

Windows Update può essere sfruttato per l’esecuzione di malware

Un nuovo problema affligge gli utenti di Windows 10: Windows Update può essere sfruttato dagli aggressori informatici come living-off-the-land binary (LoLBin) per l’esecuzione di codice malevolo. Sembra non ci sia pace per il sistema di Microsoft…

Windows 10 copertina

Per farla breve, i cosiddetti LoLBin sono programmi firmati da Microsoft e ritenuti sicuri dal sistema che possono essere sfruttati dai malintenzionati per l’esecuzione, il download o l’installazione di codice malevolo, evitando i sistemi di protezione e la rilevazione. Possono anche essere utilizzati dagli aggressori per aggirare il Windows User Account Control (UAC) o il Windows Defender Application Control (WDAC) e per guadagnare persistenza su sistemi già compromessi.

In questo caso, l’attacco scoperto dal ricercatore per la sicurezza di MDSec David Middlehurst, viene condotto tramite l’eseguibile wuauclt (Windows Update client) situato in %windir%\system32\ che permette all’utente un controllo parziale delle funzionalità di Windows Update da linea di comando. Questo eseguibile permette di controllare, scaricare e installare gli aggiornamenti senza avere accesso all’interfaccia grafica di Windows.

Come riportato da BleepingComputer, il ricercatore ha scoperto che wuauclt può essere utilizzato per l’esecuzione di codice malevolo in Windows 10 dopo averlo caricato tramite una DLL creata appositamente per lo scopo utilizzando il seguente comando:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Dove [path_to_dll] è ovviamente il percorso dov’è situata la libreria compromessa o malevola che eseguirà il codice necessario per l’attacco. Questo genere di attacco informatico è categorizzato come MITRE ATT&CK as Signed Binary Proxy Execution via Rundll32 e permette di evitare il rilevamento da parte degli antivirus e di tutti gli altri sistemi di sicurezza di Windows.

Generica

Dopo aver scoperto questo tipo di attacco, Mittlehurst ha persino trovato che qualcuno stava già sfruttando questa falla di sicurezza.

Avete bisogno di una licenza di Windows 10 Pro le il vostro nuovissimo PC da gaming? Su Amazon è disponibile a soli 9,90 euro, non perdetevela.