Windows 10 tem nova vulnerabilidade que permite invasões hackers
Por Felipe Ribeiro | 03 de Julho de 2020 às 22h30
Um grupo de pesquisadores da empresa de segurança SentinelOne descobriu algo inusitado dentro do Windows 10. Segundo eles, um LOLBin (binário que "vive fora da Terra" ou "live off the land binary") pode ser explorado por invasores para a introdução de malwares nos sistema operacional da Microsoft. Extistem inúmeros recursos desse tipo no Windows e todos com funções específicas, mas, caso os hackers saibam o que fazer, podem abusar desses binários e realizar ataques.
O novo LOLBin (desktopimgdownldr.exe) foi descoberto pela SentinelOne e geralmente é responsável pela tarefa inócua de definir planos de fundo personalizados da área de trabalho e da tela de bloqueio. Encontrado na pasta system32 do Windows 10, o binário pode ser usado como um "download furtivo" - uma alternativa ao amplamente conhecido LOLBin certutil.exe.
- Golpe do FGTS volta a circular e já atingiu mais de 100 mil pessoas no WhatsApp
- Novo ransomnware para macOS se disfarça de app de rede
- Quem é o Homem-Pateta que está aterrorizando crianças pela internet
De acordo com o relatório da SentinelOne, o desktopimgdownldr.exe é implantado como parte do Personalization CSP, que permite aos administradores definir e bloquear a imagem de plano de fundo de um usuário. Embora o binário substitua tradicionalmente a imagem da área de trabalho existente (notificando assim o usuário sobre sua ativação), um hacker pode contornar essa bandeira vermelha excluindo o registro imediatamente após a execução do binário. Dessa forma, um arquivo malicioso pode ser entregue no sistema sem ser detectado.
O binário foi projetado para ser executado apenas por administradores do sistema, contudo, os usuários padrão também podem fazer uso de uma função específica para rodar o LOLBin sem status de administrador. Além disso, quando acionado por uma dessas pessoas, o software falha ao alterar a imagem de plano de fundo porque elas não possuem a autorização necessária, deixando para trás outros itens além do arquivo baixado.
Para atenuar a ameaça apresentada, o SentinelOne aconselha os profissionais de segurança a atualizar suas listas de observação e a tratar o LOLBin recém-descoberto como tratariam a certutil.exe.
Fonte: TechRadar