Menu dostępności

Nowy sposób na ominięcie blokad Windows i uruchomienie kodu za pomocą usługi Windows Update!

W naszym poprzednim artykule tutaj opisaliśmy sposób na uruchomienie złośliwego kodu z wykorzystaniem backdoor’a w Harmonogramie Zadań Windows.
Jeśli nie czytaliście naszego artykułu o innych sposobach uruchomienia takiego kodu, to polecamy link tutaj.

Dzisiaj czas zaprezentować kolejny, nowoodkryty sposób. Tym razem padło na (uwaga) – Usługę Aktualizacji Windows! Pewnie nie dowierzasz, że Microsoft oferuje cyberprzestępcom takie gratisy, lecz czytając dalej będziesz się o tym mógł sam przekonać.


Legalny klient aktualizacji Windows służący do odpalania ładunków

Usługa Windows Update jest dostępna w każdym systemie Windows. To do czego służy, nie musimy raczej tłumaczyć, bo to oczywiste. Ale w tym przypadku posłuży nam do czego innego niż zwykle – do wykonania kodu. Posiada ona ciekawy plik wykonywalny o nazwie wuauclt.exe, który jest programem klienckim Windows Update. Dokumentacja przełączników (parametrów) tego programu jest raczej uboga i trudno dostępna w Internecie, stad brawa dla David’a Middlehurst (pseudonim DTM). To jemu udało się je odkryć i uruchomić za pomocą omawianego pliku wykonalnego kod dostarczonej do systemu biblioteki DLL. Wystarczy wpisać komendę:

wuauclt.exe /UpdateDeploymentProvider Pełna_Ścieżka_do_Pliku_DLL /RunHandlerComServer

i Windows Update wykona dla nas kod zawarty w dostarczonym pliku dll.

A ponieważ wauclt.exe jest legalnym procesem w Windows, wszystkie narzędzia EDR/Antyvirus , Sysmon itp. będą traktowały ten proses jako legalny i umieszczały na białej liście. Jest to więc kolejny sposób dla cyberprzestępców na ominięcie systemów zabezpieczeń.


Scenariusz wykonania kodu za pomocą wuauclt.exe

W celu zaprezentowania możliwości wuauclt.exe na potrzeby PoC stworzyliśmy bibliotekę w VC++, która uruchamia kalkulator.

Krok 1 – przygotowanie biblioteki DLL

Kod biblioteki dostępny poniżej. Musimy ją skompilować do pliku dll i wgrać gdzieś na dysk.

Krok 2 – wykonanie kodu

Uruchamiamy wiersz poleceń i wpisujemy poniższą komendę.

wuauclt.exe /UpdateDeploymentProvider c:\Temp\payload.dll /RunHandlerComServer

Jak widzimy na powyższym ekranie, bez problemu udało nam się uruchomić kalkulator.


Podsumowanie

Zalecamy zaktualizować reguły w systemach bezpieczeństwa EDR/Antywirus/SIEM o możliwości monitorowania użycia tego narzędzia w Windows (zwłaszcza jeśli chodzi o wymienione wyżej przełączniki). Jak widać Windows kryje w sobie jeszcze pełno niespodzianek. Tym lepiej dla nas, mamy o czym pisać!

Zachęcamy do subskrypcji nas na Facebooku i LinkedIn oraz oczywiście zaglądania na nasz portal. Co jakiś czas prezentujemy takie ciekawe rodzynki i nie tylko 🙂

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...