Skip to main content

Windows 10, identificato un nuovo eseguibile potenzialmente pericoloso

(Image credit: Shutterstock / hywards)

I ricercatori hanno scoperto un nuovo file LOLBin (living-off-the-land binary) di Windows 10 che può essere sfruttato per scaricare malware all'interno del vostro PC.

Windows 10 contiene numerosi file LOLBin, ognuno dei quali ha una funzione legittima. Tuttavia, riuscendo ad ottenere i privilegi necessari, gli hacker possono sfruttare questi file binari per bypassare i sistemi di sicurezza e mettere in atto attacchi informatici di vario genere senza che la vittima si accorga di nulla. 

Il file si chiama desktopimgdownldr.exe ed è stato scoperto dagli esperti di SentinelOne. Questo eseguibile, di norma, consente di impostare desktop e schermate di blocco personalizzate.

Secondo quanto scoperto dall'azienda di sicurezza informatica, il file binario desktopimgdownldr.exe, che si trova nella cartella system32 di Windows 10, può essere sfruttato come un “downloader furtivo”, un’alternativa al più conosciuto certutil.exe.

I pericoli riguardano principalmente le aziende

Stando al report pubblicato da SentinelOne, desktopimgdownldr.exe viene utilizzato dal pacchetto Personalization CSP, che consente all’amministratore di impostare e bloccare l’immagine dello sfondo.

Mentre di norma il file binario sovrascrive l’immagine che viene sostituita segnalandolo all'amministratore, un hacker potrebbe disattivare la notifica cancellando il registro immediatamente dopo l'esecuzione del comando. Cosi facendo, un file dannoso potrebbe accedere al sistema senza che l’utente se ne accorga. 

Anche se il file binario è impostato per essere utilizzato solo da utenti con privilegi, un utente comune potrebbe abusare di una funzione specificata per lanciare l'eseguibile pur non possedendoli.

Inoltre, quando attivato da un utente comune, l’eseguibile non è in grado di sostituire l’immagine dello sfondo (per mancanza di autorizzazioni), lasciando come unica traccia il file scaricato.

Per mitigare questa vulnerabilità, SentinelOne consiglia agli esperti di sicurezza informatica di aggiornare le proprie liste di controllo e di trattare desktopimgdownldr.exe come il più conosciuto certutil.exe.

TechRadar Pro ha chiesto a SentinelOne di chiarire i reali pericoli che potrebbero riguardare gli utenti comuni ed eventualmente di fornire una soluzione per proteggersi dai rischi che ne conseguono.