Uutta Windows 10 -virhettä voidaan käyttää tiedostojen lataamiseen tai varastamiseen

Viimeisin päivitys joulu 3, 2022

Toinen haavoittuvuus on raportoitu Windows 10 -järjestelmäsovelluksessa, joka mahdollistaa virusten lataamisen ilman havaitsemista.

Luettelo Windowsin sisäänrakennetuista suoritettavista tiedostoista, jotka voivat ladata ja suorittaa haitallista koodia, kasvaa edelleen Bleeping Computerin mukaan .

Nämä tiedostot tunnetaan nimellä live-off-the-land-binäärit (LoLBins) ja ovat osa järjestelmää. Ne voivat auttaa hyökkääjiä ohittamaan haittaohjelmien suojatoimenpiteet käynnistämättä tietoturvavaroituksia.

Uusin lisäys luetteloon on finger.exe, järjestelmäsovellus, joka hakee tietoja Finger deamon -palvelua käyttävien etätietokoneiden käyttäjistä. Yhteys tapahtuu Name/Finger -verkkoprotokollan kautta .

Tietoturvatutkija John Page havaitsi, että Microsoft Windows TCPIP Finger -komento voi toimia myös tiedostojen lataajana ja väliaikaisena komento- ja ohjauspalvelimena, jota voidaan käyttää komentojen lähettämiseen ja tietojen hakemiseen tietokoneelta.

Tutkijan mukaan haitalliset komennot, jotka lataavat tiedostoja ja poimivat tietoja, voidaan naamioida Finger-pyynnöiksi, jotta Windows Defender havaitsee poikkeavan toiminnan.

Yksi ongelma on, että Finger – protokollan käyttämä portti 79 on usein estetty organisaatiossa, viestissä sanotaan .

Hyökkääjä, jolla on riittävät oikeudet, voi kuitenkin ohittaa rajoituksen käyttämällä Windows NetSh Portproxya, joka toimii TCP-protokollan portin välittäjänä.

Tämän menetelmän avulla voit ohittaa palomuurisäännöt ja kommunikoida palvelimien kanssa rajoittamattomien HTTP-porttien kautta. Siten portproxy-pyynnöt toimitetaan paikallisen tietokoneen IP-osoitteeseen ja välitetään sitten määritettyyn isäntään.

Finger.exe:n käytöllä tiedostojen lataamiseen on myös rajoituksia, mutta kääntöpuolena on, että sitä on vaikea havaita, koska Base64 -koodaus riittää välttämään havaitsemisen.

Demoskriptit saatavilla

Tutkija loi varmistusskriptin (PoC) – DarkFinger.py for DarkFinger-Agent.bat – ja julkaisi ne osoittaakseen finger.exe-tiedoston kaksoistoiminnallisuuden.

Skriptien toimintaa esittelevässä videossa Page vertasi äskettäin löydettyä menetelmää certutil.exe-ohjelmaan, joka on toinen Windowsissa käytetty LoLBin haitallisiin tarkoituksiin.

Windows Defender pysäytti certutil-toiminnon ja kirjasi tapahtuman, kun DarkFinger-skripti suoritti toiminnon keskeytyksettä Windows 10 -koneessa :

Viime vuoden Cisco Talos -raportissa lueteltiin 13 LoLBiniä Windowsissa, mutta tänään tietoturvatutkijat ovat löytäneet uusia suoritettavia tiedostoja, jotka sopivat laskuun.

Yksi viimeisimmistä BleepingComputerissa raportoiduista on ei mikään muu kuin Windowsiin sisäänrakennettu Windows DefenderDownloadFile -virustorjunta, joka voi ladata mielivaltaisia tiedostoja komentoriviargumentilla, joka on lisätty versioon 4.18.2007.9 tai 4.18.2009.9.

Toinen on desktopimgdownldr.exe, Windows 10:n system32-hakemistosta löytyvä suoritettava tiedosto, joka on osa Personalization CSP:tä lukitusnäytön ja työpöydän taustan vaihtamiseksi. Olemme jo puhuneet siitä yksityiskohtaisesti.