Windows Updateクライアントに、悪意のあるDLLを実行することができる脆弱性が存在するとセキュリティ研究者が指摘していることがわかりました(BleepingComputer)。Windowsシステム上に存在する実行ファイルを利用して攻撃する「Living Off the landバイナリ(LoLBins)」として、悪用される危険性があるとのことです。
今回、MDSecの研究者であるDavid Middlehurst氏は、Windows Updateを制御する「wuauclt.exe」コマンドを使用し、以下のようなコマンドラインオプションを使って、特別に細工されたDLLを実行することが出来ること発見したと説明しています。
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
この攻撃は、Windowsのユーザーアカウント制御(UAC)や、Windows Defenderアプリケーション制御(WDAC)を回避し、システムを侵害することができるとのこと。Middlehurst氏はこの脆弱性を仕様した実例も発見したと指摘しています。
同様の事例としては、今年の9月に発見されたWindows Defenderのファイルのダウンロード機能があります。
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
当初Microsoftはこの機能を仕様だと説明していましたが、最終的にはファイルのダウンロードオプションを削除しました。環境寄生型の攻撃はアンチウイルスソフトで検出されづらく、Microsoftの慎重な対応が求められます。