Lỗ hổng mới khiến Windows Update có thể bị lạm dụng để thực thi file độc hại

Hồi đầu tháng 9 vừa qua, công cụ Windows Defender của Microsoft đã bị phát hiện có khả năng download file thông qua dòng lệnh, ví dụ:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

… Có thể bị lạm dụng dụng để download file nhị phân bất hợp pháp từ internet. Mặc dù bản thân Windows Defender rõ ràng không phải là một công cụ khai thác mã độc, nhưng về cơ bản tính năng này cho phép một tập lệnh có thể khởi chạy lệnh để thu thập thêm thành phần độc hại từ internet bằng cách sử dụng các file nhị phân được gọi là LoLBins, qua đó thực thi mã độc trên hệ thống Windows. Bạn có thể đọc lại tại đây: Mã độc Qbot giả mạo thông báo của Windows Defender Antivirus để lừa người dùng

Giờ đây, trường hợp tương tự cũng đã được phát hiện trong Windows Update.

LoLBins là các file thực thi do Microsoft ký (cài đặt sẵn hoặc download) có thể bị các tác nhân đe dọa lạm dụng để tránh bị phát hiện trong khi download, cài đặt hoặc thực thi mã độc hại. Ngoài ra, chúng cũng có thể bị kẻ tấn công sử dụng trong nỗ lực vượt qua vòng kiểm soát của công cụ Windows User Account Control (UAC) hoặc Windows Defender Application Control (WDAC) và qua đó có thể tồn tại lâu dài trên các hệ thống bị xâm phạm.

Thực thi mã bằng cách sử dụng DLL độc hại.

WSUS/Windows Update (wuauclt) là một tiện ích nằm trong %windir%\system32\, cung cấp cho người dùng quyền kiểm soát một phần đối với một số chức năng của Windows Update Agent thông qua dòng lệnh (command-line).

Nó cho phép người dùng kiểm tra các bản cập nhật mới và cài đặt chúng mà không cần phải sử dụng giao diện người dùng Windows, mà thay vào đó có thể kích hoạt bản cập nhật mới từ cửa sổ Command Prompt.

Theo Microsoft, sử dụng tùy chọn /ResetAuthorization cho phép kích hoạt kiểm tra cập nhật thủ công trên máy chủ WSUS được cấu hình cục bộ hoặc thông qua dịch vụ Windows Update. Tuy nhiên, nhà nghiên cứu David Middlehurst đến từ công ty bảo mật MDSec mới đây đã phát hiện ra rằng wuauclt cũng có thể bị những kẻ tấn công sử dụng để thực thi mã độc hại trên hệ thống Windows 10 bằng cách tải nó từ một DLL được chế tạo đặc biệt, tùy ý với các tùy chọn dòng lệnh sau:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
 

Như có thể thấy trong ảnh chụp màn hình phía trên, Full_Path_To_DLL là đường dẫn tuyệt đối đến file DLL được chế tạo đặc biệt của kẻ tấn công sẽ có nhiệm vụ thực thi mã trên file đính kèm. Kỹ thuật trốn tránh này cho phép kẻ tấn công vượt qua các lớp bảo vệ của công cụ chống virus, kiểm soát ứng dụng và xác thực chứng chỉ kỹ thuật số. Trong trường hợp này, nó được tiến hành bằng cách thực thi mã độc hại từ một DLL được tải bằng file nhị phân Microsoft đã ký, ứng dụng khách Windows Update (wuauclt).

Toàn bộ vấn đề đã được báo cáo cho Microsoft. Hiện công ty Redmond vẫn chưa đưa ra bất cứ tuyên bố chính thức nào về sự việc lần này.

Thứ Năm, 15/10/2020 10:52
31 👨 194
0 Bình luận
Sắp xếp theo