Windows 10, identificato un nuovo eseguibile potenzialmente pericoloso
Una funzione per cambiare lo sfondo del desktop potrebbe mettere a rischio il vostro PC
I ricercatori hanno scoperto un nuovo file LOLBin (living-off-the-land binary) di Windows 10 che può essere sfruttato per scaricare malware all'interno del vostro PC.
Windows 10 contiene numerosi file LOLBin, ognuno dei quali ha una funzione legittima. Tuttavia, riuscendo ad ottenere i privilegi necessari, gli hacker possono sfruttare questi file binari per bypassare i sistemi di sicurezza e mettere in atto attacchi informatici di vario genere senza che la vittima si accorga di nulla.
Il file si chiama desktopimgdownldr.exe ed è stato scoperto dagli esperti di SentinelOne. Questo eseguibile, di norma, consente di impostare desktop e schermate di blocco personalizzate.
- I migliori computer aziendali del 2020: PC per le PMI e grandi aziende
- Windows 10, sconti e offerte
- I migliori software aziendali del 2020
Secondo quanto scoperto dall'azienda di sicurezza informatica, il file binario desktopimgdownldr.exe, che si trova nella cartella system32 di Windows 10, può essere sfruttato come un “downloader furtivo”, un’alternativa al più conosciuto certutil.exe.
I pericoli riguardano principalmente le aziende
Stando al report pubblicato da SentinelOne, desktopimgdownldr.exe viene utilizzato dal pacchetto Personalization CSP, che consente all’amministratore di impostare e bloccare l’immagine dello sfondo.
Mentre di norma il file binario sovrascrive l’immagine che viene sostituita segnalandolo all'amministratore, un hacker potrebbe disattivare la notifica cancellando il registro immediatamente dopo l'esecuzione del comando. Cosi facendo, un file dannoso potrebbe accedere al sistema senza che l’utente se ne accorga.
Anche se il file binario è impostato per essere utilizzato solo da utenti con privilegi, un utente comune potrebbe abusare di una funzione specificata per lanciare l'eseguibile pur non possedendoli.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Inoltre, quando attivato da un utente comune, l’eseguibile non è in grado di sostituire l’immagine dello sfondo (per mancanza di autorizzazioni), lasciando come unica traccia il file scaricato.
Per mitigare questa vulnerabilità, SentinelOne consiglia agli esperti di sicurezza informatica di aggiornare le proprie liste di controllo e di trattare desktopimgdownldr.exe come il più conosciuto certutil.exe.
TechRadar Pro ha chiesto a SentinelOne di chiarire i reali pericoli che potrebbero riguardare gli utenti comuni ed eventualmente di fornire una soluzione per proteggersi dai rischi che ne conseguono.
Joel Khalili is the News and Features Editor at TechRadar Pro, covering cybersecurity, data privacy, cloud, AI, blockchain, internet infrastructure, 5G, data storage and computing. He's responsible for curating our news content, as well as commissioning and producing features on the technologies that are transforming the way the world does business.