Um binário do Windows 10 responsável por definir o wallpaper no ambiente de trabalho e no ecrã de bloqueio do Windows 10 pode ajudar utilizadores mal intencionados a descarregarem malware para o computador da vítima sem que ninguém se aperceba. Conhecidos como LoLBins, estes ficheiros vêm com o sistema operativo e até têm propósitos legítimos. No entanto, também podem permitir que se façam maldades no Windows.
Sistema de wallpaper do Windows 10 pode descarregar vírus!
Um atacante pode usar os LoLBins para descarregar e instalar malware e até para ignorar controlos de segurança da UAC ou WDAC. Normalmente, o ataque envolve malware que não está localizado em ficheiros e serviços na cloud muito conhecidos.
Uma informação avançada pela empresa de segurança Talos da Cisco revelou 13 executáveis do Windows que têm esta capacidade de descarregar e executar código malicioso.
São eles o powershell.exe, bitsadmin.exe, certutil.exe, psexec.exe, wmic.exe, mshta.exe, mofcomp.exe, cmstp.exe, windbg.exe, cdb.exe, msbuild.exe, csc.exe e regsvr32.exe.
Entretanto, investigadores da empresa SentinelOne também descobriram que o ficheiro desktopimgdownldr.exe localizado na pasta system32 do Windows 10, também pode servir como LoLBin.
O executável faz parte do sistema que permite, entre outras coisas, definir o ecrã de bloqueio e as imagens de fundo da área de trabalho.
Nos dois casos, a configuração aceita ficheiros JPG, JPEG, PNG armazenados local ou remotamente.
Mais informações podem ser encontradas aqui.
Entretanto saiba que a Microsoft lançou recentemente duas atualizações de emergência que corrigem determinadas falhas de segurança nos sistemas operativos Windows 10 e Windows Server. Esta atualização chega apenas duas semanas antes do ciclo regular de atualizações à terça-feira.
Há duas novas atualizações de emergência!
De acordo com a Microsoft, as falhas não foram reveladas publicamente, portanto as hipóteses de exploração eram baixas, mas, independentemente disso, esta empresa apressou-se a corrigir as vulnerabilidades que afetavam ambas as plataformas, em vez de esperar pelo ciclo de atualização de 14 de julho. As falhas de segurança em questão foram rotuladas como CVE-2020-1425 e CVE-2020-1457, que permitem aos exploradores executar código arbitrário e assumir o controlo do computador afetado.
Pode ler mais sobre isto aqui.
