搞不懂微软在想什么 Windows 10更新服务被添加离奇功能可加载恶意文件
早些时候微软更新 Microsoft Defender 反病毒软件,不知是何原因微软竟然为这款反病毒软件带来命令行下载。
反病毒软件本身自动更新完全用不上命令行下载文件功能,相反该功能可能会被攻击者利用用来下载恶意文件等。
攻击者借助该模块下载的恶意文件可能可以绕过反病毒软件的检测,因为这项没太大用处的功能带有潜在的风险。
尽管微软当时发布声明表示该功能不会带来安全问题,但随后微软又发布更新悄悄删除命令行下载打消用户疑虑。
附加链接:微软更新反病毒软件带来命令行下载功能可能存在安全问题、微软发布声明否认命令行下载带有威胁。
有研究人员进行分析时发现微软此前发布更新的时候似乎不仅仅是为 Microsoft Defender 带来命令行下载功能。
就连系统更新服务似乎也出现类似的功能,这里说类似并非命令行下载而是系统更新服务竟然也提供命令行操作。
研究人员发现系统更新服务现在带来命令行新功能,该功能允许攻击者通过命令行从任意特制的DLL加载wuaclt。
wuauclt即微软预装的自动升级程序,而攻击者调用该功能后可以直接绕过UAC账号控制和WDAC应用程序控制。
简单来说攻击者可以借助该功能实现恶意文件的持久性 , 按理说系统更新服务用不上加载任意DLL库文件的功能。
# [path_to_dll] 代表Dll动态链接库文件的路径 wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
系统更新服务本身由微软控制用来执行自动检查和升级等,其拥有极高的系统权限可以用来部署安全和功能更新。
按理说系统更新服务由微软控制本身是比较安全的 , 但现在微软却为其增加调用任意DLL动态链接库文件的能力。
关键是正常情况下用户完全不需要使用这个功能,相反攻击者倒是可以借助这个功能用来绕过用户账号控制机制。
加上此前 Microsoft Defender 命令行下载功能,现在就连安全研究人员也非常疑惑微软近期这些操作到底为啥。
值得注意的是研究人员已经发现借助系统更新服务绕过账户控制机制的病毒样本,说明该功能确实存在安全隐患。
目前微软尚未回应研究人员提出的质疑,不清楚微软是否会像 Microsoft Defender 命令行下载那样撤掉该功能。