...
Truques de vida, dicas úteis, recomendações. Artigos para homens e mulheres. Escrevemos sobre tecnologia e sobre tudo o que é interessante.
ComputadoresNotícia

Novo bug no Windows 10 pode ser usado para baixar ou roubar arquivos

4

Outra vulnerabilidade foi relatada em um aplicativo do sistema Windows 10 que permite que vírus sejam baixados sem detecção.

A lista de executáveis ​​embutidos no Windows que podem baixar e executar códigos maliciosos continua a crescer, de acordo com a Bleeping Computer.

Esses arquivos são conhecidos como binários vivendo fora da terra (LoLBins) e fazem parte do sistema. Eles podem ajudar os invasores a contornar as medidas de segurança para malware sem disparar alertas de segurança.

A última adição à lista é o finger.exe, um aplicativo de sistema para obter informações sobre usuários de computadores remotos que executam o serviço Finger deamon. A comunicação é feita através do protocolo de rede Name/Finger.

O pesquisador de segurança John Page descobriu que o comando TCPIP Finger do Microsoft Windows também pode funcionar como um downloader de arquivos e um comando improvisado e servidor de controle que pode ser usado para enviar comandos e recuperar dados de um computador.

Segundo o pesquisador, comandos maliciosos que baixam arquivos e extraem dados podem ser disfarçados como solicitações Finger para que o Windows Defender detecte atividades anômalas.

Um problema é que a porta 79, usada pelo protocolo Finger, costuma ser bloqueada dentro de uma organização, diz o post.

No entanto, um invasor com privilégios suficientes pode ignorar a restrição usando o Windows NetSh Portproxy, que atua como um encaminhador de porta para o protocolo TCP.

Este método permitirá que você ignore as regras do firewall e se comunique com os servidores por meio de portas HTTP irrestritas. Assim, as solicitações do Portproxy são entregues ao endereço IP do computador local e, em seguida, encaminhadas ao host especificado.

Usar o finger.exe para baixar arquivos também tem limitações, mas a vantagem é que é difícil de detectar, já que a codificação Base64 é suficiente para evitar a detecção.

Scripts de demonstração disponíveis

O pesquisador criou um script de demonstração para verificação (PoC) – DarkFinger.py para DarkFinger-Agent.bat – e os publicou para demonstrar essa dupla funcionalidade do finger.exe.

Em um vídeo mostrando como os scripts funcionam, Page comparou seu método recém-descoberto ao certutil.exe, outro LoLBin no Windows usado para fins maliciosos.

O Windows Defender interrompeu a ação certutil e registrou um evento enquanto o script DarkFinger executava a ação sem interrupção em uma máquina Windows 10 :

O relatório Cisco Talos do ano passado listou 13 LoLBins no Windows, no entanto, a partir de hoje, os pesquisadores de segurança descobriram novos executáveis ​​que se encaixam na conta.

Um dos mais recentes relatados no BleepingComputer não é outro senão o antivírus Windows Defender embutido no Windows que pode baixar arquivos arbitrários com um DownloadFileargumento de linha de comando adicionado na versão 4.18.2007.9 ou 4.18.2009.9.

O outro é o desktopimgdownldr.exe, um arquivo executável encontrado no diretório system32 do Windows 10 que faz parte do Personalization CSP para alterar a tela de bloqueio e os planos de fundo da área de trabalho. Já falamos sobre isso em detalhes.

você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação