# APT-29 MITM-атака через фальшивый прокси-сервер Windows Update

Службу Windows Update добавили в список потенциально опасных файлов LoLBins

Информация по теме:

• WOL: Приключения «Волшебного Пакета» / Хабр
• 1.Manual
• 2.Manual
• 3.Manual

• Как сообщает интернет-портал «anti-malware.ru» отвечающую за обновление операционной системы, службу Windows Update, добавили в перечень опасных файлов LoLBins, с чьей помощью можно выполнить вредоносный код на ПК пользователя.

Объясним, LoLBins-файлы, чаще всего предустановленные, помогают злоумышленникам учувствовать в атаках на ваш ПК, а также избегать опознавания вашими антивирусными программами, обойти защиту UAC (защита учетной записи Windows) и WDAC (Windows Defender Application Control). Теперь библиотека таких файлов пополнилась клиентом Windows Update, который позволяет пользователю определять наличие обновлений, а также устанавливать их по средствам командной строки, без использования пользовательского интерфейса.

• Один из исследователей MDSec, а именно Дэвид Миддлхёрст определил что Windows Update возможно использовать для выполнения кода в операционной системе Windows 10, просто запустив его при помощи специальной DLL(wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServe)

Получается, что «Full_Path_To_DLL» это и есть путь к библиотеке DLL атакующего.

Отметим, используя такой способ, злоумышленник с легкостью обойдет вашу антивирусную защиту, контроль приложений и процесс проверки цифровой подписи.