Abusando do WinGet via a API COM

📌Abusando do WinGet via a API COM

A pesquisa da EclipseSec mostra como aproveitar a API COM do WinGet para executar código arbitrário dentro de um processo assinado pela Microsoft. Em vez de invocar o winget.exe, um atacante pode chamar a interface COM diretamente, evitando completamente qualquer aparência de winget.exe, powershell.exe ou cmd.exe na árvore de processos. Isso efetivamente transforma o WinGet em uma ferramenta living-off-the-land que ajuda a evadir soluções de monitoramento.

A técnica funciona em sistemas Windows 10, Windows 11 ou Windows Server 2025 onde o WinGet está instalado por padrão. A exploração requer uma conta de usuário que tenha permissão para acessar o objeto COM do WinGet.

📎 Artigo: https://eclipsesec.com/posts/DSCourier/ ⚙️ Ferramenta: https://github.com/DylanDavis1/DSCourier

💬 Discutir