Cảnh báo Windows Update bị lạm dụng để thực thi các tệp độc hại
Trình cập nhật của Windows đang bị liệt vào danh sách có thể phát tán tấn công độc hại.
Ứng dụng Windows Update trên các máy tính của người dùng vừa được thêm vào danh sách những kẻ tấn công có thể sử dụng mã nhị phân (LoLBins - living-off-the-land binary) để thực thi mã độc trên hệ thống Windows. Các mã nhị phân này cũng có thể bị kẻ tấn công sử dụng để cố vượt qua Windows UAC hoặc Windows WDAC nhằm tồn tại trên các hệ thống bị xâm phạm.
WSUS/Windows Update client (wuauclt) là một tiện ích nằm ở thư mục hệ thống %windir%system32 và cung cấp cho người dùng quyền kiểm soát một phần đối với một số chức năng của Windows Update Agent từ dòng lệnh. Nó cho phép kiểm tra các bản cập nhật mới và cài đặt chúng mà không cần phải sử dụng giao diện người dùng Windows mà thay vào đó kích hoạt chúng từ cửa sổ dòng lệnh Command Prompt.
Windows Update có thể bị khai thác để dễ dàng tải các tệp độc hại về máy
Từ đó tin tặc có thể thực hiện việc tấn công bằng cách thực thi mã độc hại từ một tệp DLL được tải bằng tệp nhị phân Microsoft đã xác nhận chữ ký, đó là Windows Update (wuauclt).
Microsoft gần đây cập nhật ứng dụng chống virus Microsoft Defender của Windows 10, nhưng đó cũng là điều trớ trêu và âm thầm bổ sung một cách để tải xuống các tệp (có khả năng độc hại) trên các thiết bị Windows. Microsoft sau đó loại bỏ khả năng này khỏi MpCmdRun.exe (Microsoft Antimalware Service Command Line Utility).
Minh Anh