jamejamclick
کلیک امنیت کد خبر: ۱۲۸۰۱۲۸ ۲۲ مهر ۱۳۹۹  |  ۱۹:۵۷

سرویس بروزرسانی ویندوز به تازگی به لیست باینری‌های «LoLBins» اضافه شده که به هکرها اجازه می‌دهد کدهای مخرب را روی سیستم‌های ویندوزی اجرا کنند.

title

به گزارش جام چم آنلاین به نقل از دیجیاتو، LoLBins فایل‌های اجرایی مایکروسافت هستند که به صورت پیش فرض روی سیستم نصب می‌شوند یا قابل دانلود هستند که هکرها می‌توانند از آن سوءاستفاده کنند. مهاجمان می‌توانند با دور زدن مرحله شناسایی، کدهای مخرب را روی سیستم‌ها دانلود، نصب و اجرا کنند.

علاوه بر امکان اجرای کدهای مخرب، هکرها می‌توانند از آن برای دور زدن کنترل حساب کاربری ویندوز (UAC) یا کنترل ویندوز دیفندر (WDAC) استفاده کنند و به سیستم‌ها دسترسی پایدار پیدا کنند.

WSUS یا Windows Update Client یک ابزار بوده که در \windir%\system32 قرار دارد و امکان کنترل برخی از عملگرهای بروزرسانی ویندوز را از خط فرمان برای کاربران فراهم می‌کند. توسط آن می‌توان آپدیت‌های جدید را بررسی و بدون استفاده از رابط کاربری ویندوز، آن‌ها را نصب کرد.

با استفاده از گزینه ResetAuthorization/ می‌توان بررسی دستی بروزرسانی جدید را روی سرور WSUS با تنظیمات محلی آغاز کرد یا اینکه به سراغ سرویس بروزرسانی ویندوز رفت. با این حال یک محقق MDSec به نام «دیوید میدلهرست» به این موضوع پی برده که هکرها می‌توانند از «Wuauclt» برای اجرای کدهای مخرب روی سیستم‌های مجهز به ویندوز ۱۰ استفاده کنند.

این کار با بارگذاری یک DLL اختیاری با خط فرمان زیر امکان‌پذیر است:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

بروزرسانی ویندوز اجرای برنامه‌های مخرب را برای هکرها ممکن می‌کند

همانطور که در اسکرین‌شات بالا مشاهده می‌کنید، «Full_Path_To_DLL» مسیری است که DLL ایجاد شده توسط مهاجم وارد شده و کد مخرب آن اجرا می‌شود. این تکنیک توسط «MITRE ATT&CK» به عنوان «اجرای پروکسی باینری از طریق Rundll32» شناخته می‌شود و مهاجمان را قادر می‌سازد تا آنتی‌ویروس، کنترل برنامه و محافظت از اعتبار گواهی دیجیتال را دور بزنند.

بروزرسانی ویندوز اجرای برنامه‌های مخرب را برای هکرها ممکن می‌کند

در این حمله مهاجمان چنین کاری را با اجرای کد مخرب از طریق DLL انجام می‌دهند. مایکروسافت به تازگی آنتی ویروس مایکروسافت دیفندر را بروزرسانی کرده که روشی برای دانلود فایل‌ها را روی دستگاه‌های ویندوزی فراهم می‌کند. پس از مدتی این کمپانی این قابلیت را از MpCmdRun.exe حذف کرد.

ارسال نظر
* نظر:
نام:
ایمیل:

یادداشت

بیشتر
پرچم افراشته بر جنازه‌ها

پرچم افراشته بر جنازه‌ها

آسمان، خاکستری است. زمین، یک دشت وسیع است پر از خانه‌های مخروبه و خرابه‌های سیمان و بتون و آجری که روزی دیوارهای خانه‌هایی بودند.

مراکز درمانی در ICU

مراکز درمانی در ICU

در سراسر دنیا استانداردهای ایمنی مشخصی برای مراکز تجمعی گوناگون تعریف شده و در کشور ما نیز قانون معینی درباره لزوم رعایت استانداردهای ایمنی در تمام ساختمان‌هایی که بیش از 25 نفر از آن بهره‌برداری می‌کنند تصویب شده‌است که براساس این قانون همه این ساختمان‌ها ملزم به رعایت استانداردهای بین‌المللی ICS هستند.

گفتگو

بیشتر

پیشنهاد سردبیر

بیشتر

پیشخوان

بیشتر