Microsoft maakt misbruik van Windows Update mogelijk om schadelijke programma’s uit te voeren

De Windows Update-client is zojuist toegevoegd aan de lijst met LoLBins Living-off-the-Land Binaries die aanvallers kunnen gebruiken om kwaadaardige code op Windows-systemen uit te voeren. LoLBins zijn door Microsoft ondertekende uitvoerbare bestanden, vooraf geïnstalleerd of gedownload die kunnen worden misbruikt door bedreigingsactoren om detectie te omzeilen tijdens het downloaden, installeren of uitvoeren van schadelijke code.

Ze kunnen ook worden gebruikt door aanvallers bij hun pogingen om Windows User Account Control (UAC) of Windows Defender Application Control (WDAC) te omzeilen en om persistentie te verkrijgen op reeds gecompromitteerde systemen.

Uitvoeren van schadelijke code met behulp van kwaadaardige DLL’s

De WSUS / Windows Update-client (wuauclt) is een hulpprogramma op % windir% \ system32 \ dat gebruikers gedeeltelijke controle geeft over een deel van de functionaliteit van Windows Update Agent vanaf de opdrachtregel.

Hiermee kunt u controleren op nieuwe updates en deze installeren zonder de gebruikersinterface van Windows te hoeven gebruiken, maar in plaats daarvan te activeren vanuit een opdrachtpromptvenster.

Door de  optie / ResetAuthorization te gebruiken, kan een handmatige updatecontrole worden gestart op de lokaal geconfigureerde WSUS-server of via de Windows Update-service volgens Microsoft .

MDSec-onderzoeker David Middlehurst ontdekte echter dat wuauclt ook door aanvallers kan worden gebruikt om kwaadaardige code op Windows 10-systemen uit te voeren door deze te laden vanaf een willekeurige speciaal vervaardigde DLL met de volgende opdrachtregelopties:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Zoals te zien is in de bovenstaande schermafbeelding, is de Full_Path_To_DLL het absolute pad naar het speciaal vervaardigde DLL-bestand van de aanvaller dat code zou uitvoeren bij het bijvoegen.

Deze verdedigingstechniek wordt door MITRE ATT & CK gecategoriseerd als Signed Binary Proxy Execution via Rundll32 en stelt aanvallers in staat om antivirus, applicatiebeheer en digitale certificaatvalidatie te omzeilen

In dit geval wordt dit gedaan door schadelijke code uit te voeren vanaf een DLL die is geladen met een ondertekend Microsoft-binair bestand, de Windows Update-client (wuauclt).

Nadat hij had ontdekt dat wuauclt ook als een LoLBin kan worden gebruikt, vond Middlehurst ook een monster dat het in het wild gebruikte.

Microsoft heeft onlangs de Windows 10 Microsoft Defender-antivirus bijgewerkt, ironisch genoeg en stilletjes een manier toegevoegd om bestanden die mogelijk kwaadaardig zijn, naar Windows-apparaten te downloaden.

Microsoft heeft later de mogelijkheid verwijderd van MpCmdRun.exe het Microsoft Antimalware Service Command Line Utility.

Een nieuwe functie van Windows Defender baart beveiligingsonderzoekers zorgen

Wat u moet weten

Een LoLBin is een binair bestand dat door het besturingssysteem wordt geleverd en dat normaal gesproken voor legitieme doeleinden wordt gebruikt, maar ook kan worden misbruikt door kwaadwillende actoren. Verschillende standaard systeem binaire bestanden hebben onverwachte bijwerkingen, waardoor aanvallers hun activiteiten na uitbuiting kunnen verbergen.

In één van de laatste updates van de Microsoft Defender-antivirusoplossing van Windows 10 stelt het ironisch genoeg in staat om malware en andere bestanden naar een Windows-computer te downloaden.

Legitieme besturingssysteembestanden die voor kwaadwillende doeleinden kunnen worden misbruikt, staan ​​bekend als binaire bestanden van het land of LOLBINS.

In deze update van Microsoft Defender is de opdrachtregelprogramma MpCmdRun.exe bijgewerkt met de mogelijkheid om bestanden te downloaden vanaf een externe locatie, die door aanvallers kunnen worden misbruikt.

Wat is MpCmdRun.exe?

Het echte MpCmdRun.exe- bestand is een softwarecomponent van Microsoft Malware Protection door Microsoft Corporatie . “MpCmdRun.exe” is het Microsoft Malware Protection Command Line Utility. Onder beheerdersrechten, het stelt command-line, parameter gecontroleerde aanroeping van de aldaar gevestigde Microsoft antimalware product van de computer (Windows Defender, Microsoft Security Client of Microsoft Security Essentials). 

Door middel van scripts of door directe opdrachtprompt van de console kan alles, van een enkel bestand tot het hele systeem, worden gescand, met herstelmaatregelen inbegrepen of uitgeschakeld. Het bevindt zich in “C: \ Program Files \ …\ MpCmdRun.exe, “(soms met een extra laatste sub-map genaamd” Anti-malware “), en kan niet worden verwijderd zonder het volledige antimalware product te verwijderen. Het bestond van Windows XP tot en met Windows 10. Sommige Microsoft-documentatie suggereert dat het automatisch uitschakelen van MSE of Windows Defender real-time bescherming wanneer antimalware van derden is geïnstalleerd, verhindert MpCmdRun.exe mogelijk niet om scans te starten. Microsoft Corporatie is in 2016 gerangschikt (naar omzet) als ’s werelds grootste softwaremaker, het werd in april 1975 opgericht door twee mannen, Paul Allen en Bill Gates.

MpCmdRun staat voor Microsoft M alware P rotection C o m man d – Run Utility

De .exe-extensie op een bestandsnaam geeft een exe- bestand aan dat kan worden geknipt. Uitvoerbare bestanden kunnen in sommige gevallen uw computer beschadigen. Lees daarom hieronder om zelf te beslissen of de MpCmdRun.exe op uw computer een Trojaans paard is dat u moet verwijderen of dat het een bestand is dat behoort tot het Windows- besturingssysteem of tot een vertrouwde applicatie.

Met deze nieuwe functie maakt Microsoft Defender nu deel uit van de lange lijst met Windows-programma’s die kunnen worden misbruikt door lokale aanvallers.

Microsoft Defender kan worden gebruikt als een LOLBIN

Ontdekt door een beveiligingsonderzoeker genaamd Mohammad Askar, bevat een recente update van de opdrachtregel hulpprogramma van Microsoft Defender nu een nieuw DownloadFileopdrachtregelargument.

Met deze instructie kan een lokale gebruiker het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) gebruiken om een ​​bestand van een externe locatie te downloaden met behulp van de volgende opdracht:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Windows Defender heeft een nieuwe functie toegevoegd en beveiligingsonderzoekers zijn daar niet zo blij mee, aangezien het het aanvalsoppervlak van Windows heeft vergroot.

Versie 4.18.2007.9 of 4.18.2009.9 van de app heeft de mogelijkheid toegevoegd om bestanden te downloaden via de opdrachtregel met behulp van de app, bijv.

MpCmdRun.exe -DownloadFile -url [url] -pad [pad_naar_save_file]

Het kan nu worden gebruikt om een ​​binair bestand van internet te downloaden.

Bron: bleepingcomputer.com

Hoewel het op zichzelf geen exploit is, staat de functie een script toe dat de opdrachtregel kan starten om meer bestanden van internet te halen met behulp van native zogenaamde living-off-the-land binaries of LOLBINS.

Het toevoegen van de functie aan Windows Defender betekent dat er nog een app-beheerder in de gaten moet worden gehouden en een andere app die hackers kunnen misbruiken.

Gelukkig scant Windows Defender nog steeds de apps die het downloadt, maar dit is zeker niet onfeilbaar.

Pin It on Pinterest