Veel üks haavatavus on teatatud Windows 10 süsteemirakenduses, mis võimaldab viirusi ilma tuvastamata alla laadida.
Bleeping Computer andmetel kasvab Windowsi sisseehitatud käivitatavate failide loend, mis võivad pahatahtlikku koodi alla laadida ja käivitada.
Need failid on tuntud kui elavad-off-the-land binaarfailid (LoLBins) ja on osa süsteemist. Need võivad aidata ründajatel pahavara turvameetmetest mööda minna ilma turvahoiatusi käivitamata.
Loendi uusim täiendus on finger.exe, süsteemirakendus, mis võimaldab hankida teavet Finger deamoni teenust kasutavate kaugarvutite kasutajate kohta. Side toimub nime/sõrme võrguprotokolli kaudu .
Turvauurija John Page avastas, et Microsoft Windowsi käsk TCPIP Finger võib toimida ka failide allalaadijana ning ajutise käsu- ja juhtimisserverina, mida saab kasutada käskude saatmiseks ja arvutist andmete toomiseks.
Uurija sõnul saab faile alla laadivaid ja andmeid ekstraktivaid pahatahtlikke käske varjata Fingeri päringuteks, et Windows Defender tuvastaks anomaalse tegevuse.
Üks probleem on see, et Fingeri protokolli kasutatav port 79 on sageli organisatsiooni sees blokeeritud, öeldakse postituses.
Piisavate õigustega ründaja saab aga piirangust mööda minna, kasutades Windows NetSh Portproxy-d, mis toimib TCP-protokolli pordi edastajana.
See meetod võimaldab teil tulemüürireeglitest mööda minna ja serveritega suhelda piiramatute HTTP-portide kaudu. Seega edastatakse portproxy päringud kohaliku arvuti IP-aadressile ja edastatakse seejärel määratud hostile.
Failide allalaadimiseks faili finger.exe kasutamisel on samuti piiranguid, kuid pluss on see, et seda on raske tuvastada, kuna nende tuvastamise vältimiseks piisab Base64 kodeerimisest.
Saadaval on demoskriptid
Uurija lõi kontrollimiseks demoskripti (PoC) – DarkFinger.py jaoks DarkFinger-Agent.bat – ja avaldas need, et demonstreerida seda sõrme.exe kahekordset funktsionaalsust.
Skriptide toimimist näitavas videos võrdles Page oma äsja avastatud meetodit certutil.exe-ga, teise Windowsi LoLBiniga, mida kasutatakse pahatahtlikel eesmärkidel.
Windows Defender peatas certutili toimingu ja logis sündmuse, samal ajal kui DarkFingeri skript sooritas toimingu Windows 10 masinas katkestusteta :
Eelmise aasta Cisco Talose aruandes loetleti 13 Windowsi LoLBini, kuid tänase seisuga on turvateadlased avastanud uued käivitatavad failid, mis vastavad arvele.
Üks viimaseid, millest BleepingComputeris on teatatud, ei ole keegi muu kui Windowsi sisseehitatud Windows Defenderi viirusetõrje, mis suudab alla laadida suvalisi faile, mille DownloadFilekäsurea argument on lisatud versioonis 4.18.2007.9 või 4.18.2009.9.
Teine on desktopimgdownldr.exe, Windows 10 system32 kataloogist leitud käivitatav fail, mis on osa isikupärastamise CSP-st, et muuta lukustuskuva ja töölaua tausta. Oleme sellest juba üksikasjalikult rääkinud .