Siempre decimos que es vital mantener los equipos actualizados. De esta manera podemos evitar posibles vulnerabilidades que sean explotadas por los piratas informáticos para llevar a cabo sus ataques. En este sentido Windows Update actúa como una herramienta básica en el sistema operativo de Microsoft para mantenerlo actualizado correctamente.

Pero ahora Windows Update se acaba de agregar a la lista de LoLBins, que los atacantes pueden usar para ejecutar código malicioso en sistemas de Windows. Básicamente son ejecutables firmados por Microsoft (pueden estar preinstalados o descargados) que son utilizados para evadir la detección.

El cliente WSUS/Windows Update permite buscar nuevas actualizaciones e instalarlas sin tener que utilizar la interfaz de usuario de Windows, sino activarlas desde una ventana del símbolo del sistema.

El uso de la opción /ResetAuthorization permite iniciar una verificación de actualización manual, ya sea en el servidor WSUS configurado localmente o mediante el servicio Windows Update, como indica Microsoft.

Ahora, el investigador de MDSec David Middlehurst, ha descubierto que los atacantes también pueden utilizar wuauclt para ejecutar código malicioso en sistemas Windows 10 cargándolo desde una DLL arbitraria especialmente diseñada con las siguientes opciones de línea de comandos:

wuauclt.exe /UpdateDeploymentProvider[ruta_a_dll]/RunHandlerComServer

Full_Path_To_DLL es la ruta absoluta al archivo DLL especialmente diseñado del atacante que ejecutaría el código al adjuntarlo. Es una técnica de evasión de defensa. Lo hace ejecutando código malicioso desde una DLL cargada mediante un binario firmado de Microsoft, el cliente de Windows Update (wuauclt).

En definitiva, un nuevo problema para la seguridad de Microsoft. En este caso, como hemos visto, afecta a la herramienta Windows Update que puede ser explotada para desplegar malware en los sistemas.