Función de Windows Update puede ser usada para descargar, instalar y ejecutar malware

Un grupo de investigadores ha agregado a la lista de binarios living-off-land (LoLBins) al cliente de Windows Update, al descubrir que puede ser utilizado por atacantes para ejecutar código malicioso en los sistemas Windows. 

Los LoLBins son ejecutables firmados por Microsoft (pre-instalados o descargados) que pueden ser abusados por actores maliciosos con la finalidad de evadir los controles de seguridad, al realizar procesos de descarga, instalación o ejecución de malware. También suelen ser usados para eludir el control de cuentas de usuario de Windows (UAC - User Account Control) o el control de aplicaciones de Windows Defender (WDAC - Windows Defender Application Control), así como para obtener persistencia en los sistemas comprometidos.

Es sabido que el servicio de actualización de Windows Server (WSUS) y el cliente de automatico de actualización de Windows Update (wuauclt) es una utilidad ubicada en “%windir%\system32\”, con la capacidad de proporcionar  a los usuarios un control parcial sobre algunas de las funciones del Agente de Windows Update desde la línea de comandos. Si se utiliza la opción “ResetAuthorization” permite iniciar un chequeo manual de actualizaciones ya sea en el servidor (WSUS) o en el servicio de Windows Update.

Pero según los expertos, los atacantes también pueden utilizar el “wuauclt” para ejecutar código malicioso en el sistemas Windows 10, al cargarlo desde una arbitraria DLL especialmente diseñada, utilizando las siguientes opciones de la línea de comandos: “wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer”.

Demostración de explotación

Según la demostración, el “Path_To_DLL” es la ruta hacia el archivo DLL diseñado por el atacante, el cual ejecutaría el código adjunto.

Esta técnica de evasión está categorizada por MITRE ATT&CK como ejecución de proxy binario firmado por medio de Rundll32, su explotación permite a los atacantes burlar los controles de seguridad de anti-virus (AV), Application Control, y la protección de validación de certificados digitales. Este caso en particular, se realiza ejecutando código malicioso desde una DLL, la cual es cargada por medio de un binario firmado por Microsoft, el cliente de Windows Update (wuauclt).



Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,150,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,3,exploit,8,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,2,RDoS,1,RDP,3,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,4,Vulnerabilidad,37,Vulnerabilidades,76,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,21,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Función de Windows Update puede ser usada para descargar, instalar y ejecutar malware
Función de Windows Update puede ser usada para descargar, instalar y ejecutar malware
https://1.bp.blogspot.com/--D7BOq7rZSM/X4XV-qNNJDI/AAAAAAAACT0/rCjJRyj_n0AIbyFFchs2Soz1hVZqDL3ggCLcBGAsYHQ/w640-h320/Malware%2Bcliente%2BWindows%2Bupdate.jpg
https://1.bp.blogspot.com/--D7BOq7rZSM/X4XV-qNNJDI/AAAAAAAACT0/rCjJRyj_n0AIbyFFchs2Soz1hVZqDL3ggCLcBGAsYHQ/s72-w640-c-h320/Malware%2Bcliente%2BWindows%2Bupdate.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/10/funcion-de-windows-update-puede-ser.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/10/funcion-de-windows-update-puede-ser.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy