En annan sårbarhet har rapporterats i en Windows 10-systemapplikation som gör att virus kan laddas ner utan upptäckt.
Listan över inbyggda körbara filer i Windows som kan ladda ner och köra skadlig kod fortsätter att växa, enligt Bleeping Computer.
Dessa filer är kända som living-off-the-land binärfiler (LoLBins) och är en del av systemet. De kan hjälpa angripare att kringgå säkerhetsåtgärder för skadlig programvara utan att utlösa säkerhetsvarningar.
Det senaste tillägget till listan är finger.exe, ett systemprogram för att få information om användare av fjärrdatorer som kör Finger deamon-tjänsten. Kommunikation sker via nätverksprotokollet Namn/Finger.
Säkerhetsforskaren John Page upptäckte att kommandot Microsoft Windows TCPIP Finger också kan fungera som en filnedladdning och en provisorisk kommando- och kontrollserver som kan användas för att skicka kommandon och hämta data från en dator.
Enligt forskaren kan skadliga kommandon som laddar ner filer och extraherar data döljas som Finger-förfrågningar så att Windows Defender upptäcker onormal aktivitet.
Ett problem är att port 79, som används av Finger- protokollet, ofta blockeras inom en organisation, säger inlägget.
En angripare med tillräckliga privilegier kan dock kringgå begränsningen genom att använda Windows NetSh Portproxy, som fungerar som en port forwarder för TCP-protokollet.
Den här metoden låter dig kringgå brandväggsregler och kommunicera med servrar via obegränsade HTTP-portar. Således levereras Portproxy-förfrågningar till IP-adressen för den lokala datorn och vidarebefordras sedan till den angivna värden.
Att använda finger.exe för att ladda ner filer har också begränsningar, men fördelen är att det är svårt att upptäcka, eftersom det räcker med Base64- kodning för att undvika upptäckt.
Demo skript tillgängliga
Forskaren skapade ett demoskript för verifiering (PoC) – DarkFinger.py för DarkFinger-Agent.bat – och publicerade dem för att demonstrera denna dubbla funktionalitet av finger.exe.
I en video som visar hur skripten fungerar jämförde Page sin nyupptäckta metod med certutil.exe, en annan LoLBin på Windows som används i skadliga syften.
Windows Defender stoppade certutil-åtgärden och loggade en händelse medan DarkFinger-skriptet utförde åtgärden utan avbrott på en Windows 10-dator :
Förra årets Cisco Talos- rapport listade 13 LoLBins på Windows, men från och med idag har säkerhetsforskare upptäckt nya körbara filer som passar räkningen.
En av de senaste som har rapporterats på BleepingComputer är ingen mindre än Windows Defender antivirus inbyggt i Windows som kan ladda ner godtyckliga filer med ett DownloadFilekommandoradsargument lagt till i version 4.18.2007.9 eller 4.18.2009.9.
Den andra är desktopimgdownldr.exe, en körbar fil som finns i Windows 10 system32-katalogen som är en del av Personalization CSP för att ändra låsskärmen och skrivbordsbakgrunderna. Vi har redan pratat om det i detalj.