# APT-29 MITM-атака через фальшивый прокси-сервер Windows Update
APT29Службу Windows Update добавили в список потенциально опасных файлов LoLBins
Информация по теме:
- Как сообщает интернет-портал «anti-malware.ru» отвечающую за обновление операционной системы, службу Windows Update, добавили в перечень опасных файлов LoLBins, с чьей помощью можно выполнить вредоносный код на ПК пользователя.
Объясним, LoLBins-файлы, чаще всего предустановленные, помогают злоумышленникам учувствовать в атаках на ваш ПК, а также избегать опознавания вашими антивирусными программами, обойти защиту UAC (защита учетной записи Windows) и WDAC (Windows Defender Application Control). Теперь библиотека таких файлов пополнилась клиентом Windows Update, который позволяет пользователю определять наличие обновлений, а также устанавливать их по средствам командной строки, без использования пользовательского интерфейса.
- Один из исследователей MDSec, а именно Дэвид Миддлхёрст определил что Windows Update возможно использовать для выполнения кода в операционной системе Windows 10, просто запустив его при помощи специальной DLL(wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServe)
Получается, что «Full_Path_To_DLL» это и есть путь к библиотеке DLL атакующего.
Отметим, используя такой способ, злоумышленник с легкостью обойдет вашу антивирусную защиту, контроль приложений и процесс проверки цифровой подписи.