Un’altra vulnerabilità è stata segnalata in un’applicazione di sistema Windows 10 che consente il download di virus senza rilevamento.
L’elenco degli eseguibili integrati in Windows che possono scaricare ed eseguire codice dannoso continua a crescere, secondo Bleeping Computer.
Questi file sono noti come binari viventi fuori terra (LoLBins) e fanno parte del sistema. Possono aiutare gli aggressori a eludere le misure di sicurezza per il malware senza attivare avvisi di sicurezza.
L’ultima aggiunta all’elenco è finger.exe, un’applicazione di sistema per ottenere informazioni sugli utenti di computer remoti che eseguono il servizio demone Finger. La comunicazione avviene tramite il protocollo di rete Name/Finger.
Il ricercatore di sicurezza John Page ha scoperto che il comando Microsoft Windows TCPIP Finger può anche funzionare come un downloader di file e un server di comando e controllo improvvisato che può essere utilizzato per inviare comandi e recuperare dati da un computer.
Secondo il ricercatore, i comandi dannosi che scaricano file ed estraggono dati possono essere mascherati da richieste Finger in modo che Windows Defender rilevi attività anomale.
Un problema è che la porta 79, utilizzata dal protocollo Finger, è spesso bloccata all’interno di un’organizzazione, afferma il post.
Tuttavia, un utente malintenzionato con privilegi sufficienti può aggirare la restrizione utilizzando Windows NetSh Portproxy, che funge da port forwarder per il protocollo TCP.
Questo metodo ti consentirà di aggirare le regole del firewall e di comunicare con i server tramite porte HTTP senza restrizioni. Pertanto, le richieste Portproxy vengono consegnate all’indirizzo IP del computer locale e quindi inoltrate all’host specificato.
Anche l’uso di finger.exe per scaricare i file ha delle limitazioni, ma il lato positivo è che è difficile da rilevare, poiché la codifica Base64 è sufficiente per evitare il rilevamento.
Script demo disponibili
Il ricercatore ha creato uno script demo per la verifica (PoC) – DarkFinger.py per DarkFinger-Agent.bat – e li ha pubblicati per dimostrare questa doppia funzionalità di finger.exe.
In un video che mostra come funzionano gli script, Page ha confrontato il suo metodo appena scoperto con certutil.exe, un altro LoLBin su Windows utilizzato per scopi dannosi.
Windows Defender ha interrotto l’azione certutil e ha registrato un evento mentre lo script DarkFinger ha eseguito l’azione senza interruzioni su un computer Windows 10 :
Il rapporto Cisco Talos dell’anno scorso elencava 13 LoLBins su Windows, tuttavia, ad oggi, i ricercatori di sicurezza hanno scoperto nuovi eseguibili che si adattano al conto.
Uno dei più recenti segnalati su BleepingComputer non è altro che l’ antivirus Windows Defender integrato in Windows che può scaricare file arbitrari con un DownloadFileargomento della riga di comando aggiunto nella versione 4.18.2007.9 o 4.18.2009.9.
L’altro è desktopimgdownldr.exe, un file eseguibile che si trova nella directory system32 di Windows 10 che fa parte del CSP di personalizzazione per modificare la schermata di blocco e gli sfondi del desktop. Ne abbiamo già parlato nel dettaglio.