{"id":236515,"date":"2020-10-13T18:24:25","date_gmt":"2020-10-13T16:24:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236515"},"modified":"2020-11-23T17:25:23","modified_gmt":"2020-11-23T16:25:23","slug":"windows-update-kann-fr-malware-auslieferung-missbraucht-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/13\/windows-update-kann-fr-malware-auslieferung-missbraucht-werden\/","title":{"rendered":"Windows Update kann für Malware-Auslieferung missbraucht werden"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Sache, auf die ein Sicherheitsforscher gesto\u00dfen ist. Windows Update kann dazu gebracht werden, eine Schadsoftware herunterzuladen und dann auszuf\u00fchren. F\u00e4llt in die Kategorie LoLBins (living-off-the-land binaries).<\/p>\n

<\/p>\n

\"\"Ich hatte Anfang September 2020 bereits im Blog-Beitrag Sicherheitsbedenken wegen Microsoft Defender Download-Feature<\/a> \u00fcber ein Problem mit LoLBins (living-off-the-land binaries) im Zusammenhang mit dem Windows Defender und einer neu eingebauten Funktion berichtet. Kurz nach der Berichterstattung wurde diese Funktion wieder ausgebaut.<\/p>\n

Was sind LOLBINs?<\/h2>\n

LOLBIN (living-off-the-land binaries) ist jede vom Betriebssystem gelieferte Bin\u00e4rdatei, die normalerweise f\u00fcr legitime Zwecke verwendet wird. LOLBINs lassen sich aber auch von b\u00f6swilligen Akteuren missbrauchen. Die Angreifer k\u00f6nnen LOLBINs verwenden, um Malware herunterzuladen und auszuf\u00fchren, wobei diese Aktivit\u00e4ten verborgen bleiben sollen. Es sind ja Betriebssystemdateien, die f\u00fcr diese Zwecke mittbraucht werden.<\/p>\n

LoLBins werden von verschiedenen Angreifern in Kombination mit Fileless-Malware und legitimen Cloud-Diensten eingesetzt, um die Chancen zu erh\u00f6hen, innerhalb einer Organisation w\u00e4hrend der Angriffsphasen unentdeckt zu bleiben. Das Konzept der LoLBins ist nicht neu und nicht spezifisch f\u00fcr Windows. Fast alle herk\u00f6mmlichen Betriebssysteme, angefangen von den fr\u00fchen DOS-Versionen und Unix-Systemen, enthielten ausf\u00fchrbare Dateien, die von Angreifern ausgenutzt werden konnten. Talos hat einen Blog-Beitrag<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n

Windows Update als LOLBIN missbrauchen<\/h2>\n

Ich bin die Nacht auf Twitter \u00fcber diesen Tweet<\/a> auf die Thematik aufmerksam geworden. Ein Sicherheitsforscher hat sich Windows Update vorgenommen und gepr\u00fcft, ob Windows Update als LOLBIN missbraucht werden kann.<\/p>\n

\"Windows<\/a>
\n(Windows Update als LOLBIN missbrauchen)<\/p>\n

Der WSUS \/ Windows Update-Client (wuauclt<\/em>) ist ein Dienstprogramm, das als .exe-Datei im Ordner %windir%\\system32\\ <\/em>zu finden ist. Das Dienstprogramm erm\u00f6glicht Benutzern die teilweise Kontrolle \u00fcber einige Funktionen des Windows Update-Agenten<\/a> (und hier<\/a>) von der Befehlszeile aus. MDSec-Forscher David Middlehurst ist aufgefallen<\/a>, dass wuauclt<\/em> von Angreifern auch zur Ausf\u00fchrung von b\u00f6sartigem Code auf Windows 10-Systemen verwendet werden kann. Dazu ist folgende Befehlszeilenoption zu verwenden:<\/p>\n

wuauclt.exe \/UpdateDeploymentProvider [path_to_dll] \/RunHandlerComServer<\/code><\/pre>\n
Als [path_to_dll]ist eine vom Angreifer gestaltbare DLL-Datei verwendbar. Diese wird dann unter den Berechtigungen des Windows Update-Clients ausgef\u00fchrt.<\/p>\n
\"DLL<\/p>\n
Diese Angriffstechnik wird von MITRE ATT&CK als Signed Binary Proxy Execution via Rundll32 kategorisiert. Der Ansatz erm\u00f6glicht es Angreifern, Antivirus- oder andere Schutzmechanismen zum Schutz vor Viren, eine Anwendungskontrolle und die Validierung digitaler Zertifikate zu umgehen. \u00dcber den Umweg wuauclt <\/em>wird auch unsignierter Code ausgef\u00fchrt. Middlehurst gibt an, dass er ein Beispiel in freier Wildbahn gefunden habe (siehe hier<\/a>), das diese Technik ausnutzt. Weitere Details lassen sich im Blog-Beitrag von Middlehurst<\/a>\u00a0 sowie bei Bleeping Computer<\/a> nachlesen. Ich gehe davon aus, dass Microsoft in absehbarer Zeit was an wuauclt <\/em>patchen wird. <\/code><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Unsch\u00f6ne Sache, auf die ein Sicherheitsforscher gesto\u00dfen ist. Windows Update kann dazu gebracht werden, eine Schadsoftware herunterzuladen und dann auszuf\u00fchren. F\u00e4llt in die Kategorie LoLBins (living-off-the-land binaries).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,3288],"class_list":["post-236515","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236515","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236515"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236515\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236515"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236515"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236515"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}