...
Astuces de vie, conseils utiles, recommandations. Articles pour hommes et femmes. Nous écrivons sur la technologie et sur tout ce qui est intéressant.
Des ordinateursNouvelles

Un nouveau bogue dans Windows 10 pourrait être utilisé pour télécharger ou voler des fichiers

3

Une autre vulnérabilité a été signalée dans une application système Windows 10 qui permet de télécharger des virus sans détection.

La liste des exécutables intégrés à Windows qui peuvent télécharger et exécuter du code malveillant continue de s’allonger, selon Bleeping Computer.

Ces fichiers sont connus sous le nom de fichiers binaires vivant hors de la terre (LoLBins) et font partie du système. Ils peuvent aider les attaquants à contourner les mesures de sécurité contre les logiciels malveillants sans déclencher d’alertes de sécurité.

Le dernier ajout à la liste est finger.exe, une application système permettant d’obtenir des informations sur les utilisateurs d’ordinateurs distants exécutant le service Finger deamon. La communication s’effectue via le protocole réseau Name/Finger.

Le chercheur en sécurité John Page a découvert que la commande Microsoft Windows TCPIP Finger peut également fonctionner comme un téléchargeur de fichiers et un serveur de commande et de contrôle de fortune qui peut être utilisé pour envoyer des commandes et récupérer des données à partir d’un ordinateur.

Selon le chercheur, les commandes malveillantes qui téléchargent des fichiers et extraient des données peuvent être déguisées en requêtes Finger afin que Windows Defender détecte une activité anormale.

Un problème est que le port 79, utilisé par le protocole Finger, est souvent bloqué au sein d’une organisation, indique le post.

Cependant, un attaquant disposant de privilèges suffisants peut contourner la restriction en utilisant le Windows NetSh Portproxy, qui agit comme un redirecteur de port pour le protocole TCP.

Cette méthode vous permettra de contourner les règles du pare-feu et de communiquer avec les serveurs via des ports HTTP illimités. Ainsi, les requêtes Portproxy sont livrées à l’adresse IP de l’ordinateur local, puis transmises à l’hôte spécifié.

L’utilisation de finger.exe pour télécharger des fichiers a également des limites, mais l’avantage est qu’il est difficile à détecter, car leur codage en Base64 est suffisant pour éviter la détection.

Scripts de démonstration disponibles

Le chercheur a créé un script de démonstration pour la vérification (PoC) – DarkFinger.py pour DarkFinger-Agent.bat – et les a publiés pour démontrer cette double fonctionnalité de finger.exe.

Dans une vidéo montrant le fonctionnement des scripts, Page a comparé sa méthode nouvellement découverte à certutil.exe, un autre LoLBin sous Windows utilisé à des fins malveillantes.

Windows Defender a arrêté l’action certutil et consigné un événement pendant que le script DarkFinger effectuait l’action sans interruption sur une machine Windows 10 :

Le rapport Cisco Talos de l’ année dernière a répertorié 13 LoLBins sur Windows, cependant, à ce jour, les chercheurs en sécurité ont découvert de nouveaux exécutables qui correspondent à la facture.

L’un des plus récents signalés sur BleepingComputer n’est autre que l’ antivirus Windows Defender intégré à Windows qui peut télécharger des fichiers arbitraires avec un DownloadFileargument de ligne de commande ajouté dans la version 4.18.2007.9 ou 4.18.2009.9.

L’autre est desktopimgdownldr.exe, un fichier exécutable trouvé dans le répertoire system32 de Windows 10 qui fait partie du CSP de personnalisation pour modifier l’écran de verrouillage et les arrière-plans du bureau. Nous en avons déjà parlé en détail.

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More