No início de setembro o pesquisador de segurança Mohammad Askar descobriu que o Windows Defender, utilitário de segurança embutido no Windows 10, podia ser usado para baixar arquivos sem o consentimento do usuário. Isso o tornava uma possível porta de entrada para malware no sistema.
Agora outro pesquisador de segurança, David Middlehurst, descobriu que o Windows Update pode ser enganado para executar binários (programas) maliciosos embutidos em uma DLL especialmente preparada.
Para piorar a situação o truque permite driblar o Windows User Account Control (UAC) e o Windows Defender Application Control (WDAC), ferramentas usadas para controlar quem pode instalar programas no sistema, e quais podem ser executados.
Segundo o pesquisador, hackers podem usar esse método para ganhar “persistência” em um sistema infectado, ou seja, instalar um malware que será executado automaticamente sempre que o computador for ligado ou reinicializado.
Programas nativos do sistema que podem ser manipulados para instalação e execução de malware são chamados de “Living off the Land Binaries” (LOLBINS), termo baseado na expressão “Living off the Land” (algo como “viver da terra”), que significa sobreviver apenas com o que o ambiente local lhe dá.
Ao pesquisar a falha, Middlehusrt descobriu ao menos uma amostra de malware que já usa o Windows Update para executar código malicioso. Por enquanto não há uma correção para o bug. A melhor forma de se proteger é manter seu sistema atualizado e utilizar boas ferramentas e práticas de segurança.
Fonte: BleepingComputer
Tags: