Nuevo error en Windows 10 podría usarse para descargar o robar archivos

Last updated Dic 3, 2022

Otra vulnerabilidad ha sido reportada en una aplicación del sistema Windows 10 que permite descargar virus sin ser detectados.

La lista de ejecutables integrados en Windows que pueden descargar y ejecutar código malicioso sigue creciendo, según Bleeping Computer.

Estos archivos se conocen como archivos binarios living-off-the-land (LoLBins) y forman parte del sistema. Pueden ayudar a los atacantes a eludir las medidas de seguridad para el malware sin activar alertas de seguridad.

La última incorporación a la lista es finger.exe, una aplicación del sistema para obtener información sobre los usuarios de equipos remotos que ejecutan el servicio Finger deamon. La comunicación se realiza a través del protocolo de red Name/Finger.

El investigador de seguridad John Page descubrió que el comando Finger TCPIP de Microsoft Windows también puede funcionar como un descargador de archivos y un servidor de comando y control improvisado que se puede usar para enviar comandos y recuperar datos de una computadora.

Según el investigador, los comandos maliciosos que descargan archivos y extraen datos pueden disfrazarse de solicitudes Finger para que Windows Defender detecte actividad anómala.

Un problema es que el puerto 79, utilizado por el protocolo Finger, a menudo está bloqueado dentro de una organización, dice la publicación.

Sin embargo, un atacante con suficientes privilegios puede eludir la restricción utilizando Windows NetSh Portproxy, que actúa como un reenviador de puertos para el protocolo TCP.

Este método le permitirá eludir las reglas del firewall y comunicarse con los servidores a través de puertos HTTP sin restricciones. Por lo tanto, las solicitudes de Portproxy se entregan a la dirección IP de la computadora local y luego se reenvían al host especificado.

Usar finger.exe para descargar archivos también tiene limitaciones, pero la ventaja es que es difícil de detectar, ya que codificarlos en Base64 es suficiente para evitar la detección.

Scripts de demostración disponibles

El investigador creó un script de demostración para la verificación (PoC), DarkFinger.py para DarkFinger-Agent.bat, y lo publicó para demostrar esta funcionalidad dual de finger.exe.

En un video que muestra cómo funcionan los scripts, Page comparó su método recién descubierto con certutil.exe, otro LoLBin en Windows que se usa con fines maliciosos.

Windows Defender detuvo la acción de certutil y registró un evento mientras el script DarkFinger realizaba la acción sin interrupción en una máquina con Windows 10 :

El informe Cisco Talos del año pasado enumeró 13 LoLBins en Windows; sin embargo, a partir de hoy, los investigadores de seguridad han descubierto nuevos ejecutables que se ajustan a la factura.

Uno de los más recientes que se ha informado en BleepingComputer no es otro que el antivirus Windows Defender integrado en Windows que puede descargar archivos arbitrarios con un DownloadFileargumento de línea de comando agregado en la versión 4.18.2007.9 o 4.18.2009.9.

El otro es desktopimgdownldr.exe, un archivo ejecutable que se encuentra en el directorio system32 de Windows 10 y que forma parte del CSP de personalización para cambiar la pantalla de bloqueo y los fondos de escritorio. Ya hemos hablado de ello en detalle.