Sponsorowana przez Koreę Północną grupa hakerów Lazarus dodała mechanizm Windows Update do obsługiwanych przez pliki binarne w ataku typu living-off-the-land (LoLBins). Jest to metoda, w której atakujący wykorzystuje narzędzia samego systemu jako furtkę do dostania się do jego wnętrza. Nowe zagrożenie zostało wykryte przez zespół Malwarebytes - zostało one wykorzystane do zaatakowania amerykańskiej kompanii aeronautycznej Lockheed Martin.

Jak to działa? Klasycznie - ofiara dostaje załącznik w mailu lub wiadomości. Po jego otwarciu uruchamia się wykonywalne makro, które pozostawia w folderze Windows/System32 plik WindowsUpdateConf.lnk oraz bibliotekę wuaueng.dll. W następnej fazie .lnk uruchamia WSUS (klient Windows Update), aby wykonać polecenie i pobrać złośliwe biblioteki .dll. Co dalej? Wszystko zależy od tego, jakie były intencje atakującego. Szkodliwe biblioteki mogą kraść dane, monitorować aktywność użytkownika, a w ekstremalnym przypadku nawet pozwolić na przejście maszyny. Czy można się przed tym obronić?

Na szczęście tak - wystarczy użyć specjalnie przygotowanej biblioteki, która pozwoli na zablokowanie możliwości takiego ataku. W tym celu należy we wierszu poleceń wpisać komendę:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Zabezpieczenie działa na systemie Windows 10, powinno także bez problemu pracować pod Windows 11.

