Il problema era stato portato alla luce all’incirca un anno fa dai ricercatori di Cisco Talos che evidenziavano come alcuni file di Windows potessero essere sfruttati per scaricare componenti software malevoli scavalcando UAC e gli altri controlli svolti dal sistema operativo.
Nell’analisi pubblicata da Cisco Talos viene condiviso l’elenco completo degli eseguibili che eventuali malintenzionati possono sfruttare per rimanere “under-the-radar“.
Battezzati nel loro complesso LoLBins (ovvero living-off-the-land binaries) gli eseguibili di Windows in questione sono ovviamente del tutto legittimi ma sono sempre più spesso sfruttati da parte dei criminali informatici per nascondere le loro attività, in particolare per gli attacchi fileless: Rimozione malware: come accorgersi della presenza di minacce fileless.
Gal Kristal (SentinelOne) riferisce di aver scovato un nuovo file di Windows 10 usato per il download di codice da remoto. Si tratta di desktopimgdownldr.exe
, un componente del sistema operativo che – tra le altre cose – si occupa di modificare lo sfondo del desktop e quello della schermata di logon.
Senza provocare la comparsa di UAC, quindi, anche con un account utente normale è possibile provocare il download di codice e disporne l’esecuzione sul sistema locale.
Ovvio che combinando l’uso dei LoLBins con altre vulnerabilità – ad esempio quelle che consentono l’acquisizione di privilegi più elevati – un aggressore potrebbe provocare danni importanti.
Suggeriamo anche la lettura dell’approfondimento Privilege escalation: acquisire privilegi più elevati è ancora possibile in Windows.