Ещё один родной файл Windows можно использовать для загрузки вредоносов

Ещё один родной файл Windows можно использовать для загрузки вредоносов

Список «родных» исполняемых файлов Windows (LoLBins), с помощью которых можно скачать и запустить вредоносный код, продолжает расти. Известно, что с их помощью атакующий может обойти защитные функции операционной системы.

На этот раз внимание специалистов привлёк файл finger.exe, входящий в комплект Windows и отвечающий за восстановление пользовательской информации на удалённых компьютерах с запущенной службой Finger.

В процессе работы взаимодействие происходит по протоколу Name/Finger. Исследователь в области кибербезопасности Джон Пейдж обнаружил, что TCP/IP-команда Finger в Windows может также выступать в роли загрузчика файла и даже выполнять функции C2-сервера — отправлять команды и извлекать данные.

По словам Пейджа, команды можно маскировать под запросы finger, в этом случае встроенная антивирусная программа Microsoft Defender никак не отреагирует на подозрительную активность.

Специалист опубликовал PoC-скрипты DarkFinger.py и DarkFinger-Agent.bat, чтобы продемонстрировать эксплуатацию finger.exe. Также доступно видео, в котором Пейдж показывает работу скриптов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft устранила баг Windows 11, приводящий к зависанию Remote Desktop

Microsoft устранила баг, из-за которого приложение «Удаленный рабочий стол» (Remote Desktop от Microsoft) зависало при работе с системой Windows 11. Как всегда, причиной бага стали обновления, на этот раз — Windows 11 2022 Update.

В корпорации отметили, что рядовые пользователи вряд ли столкнутся с проблемами при использовании этого приложения. А вот в корпоративной среде всё несколько печальнее: на рабочих устройствах соединение затронуто багом.

Таким образом, если вы устанавливали Windows 11 версии 22H2 на корпоративные устройства, с высокой долей вероятности Remote Desktop у вас будет зависать. Представители Microsoft отметили, что баг должен уйти поле установки нового апдейта — KB5022360.

Стоит подчеркнуть, что это опциальное обновление, не содержащее патчей для известных уязвимостей, поэтому оно не будет устанавливаться автоматически. Инсталлировать его нужно вручную, либо скачать из каталога Microsoft Update.

Если вы не хотите устанавливать KB5022360, есть и обходной метод:

  1. Нажат Ctrl, Shift и Esc.
  2. Выбрать «Процессы».
  3. Найти процесс mstsc.exe.
  4. Кликнуть правой кнопкой мыши и нажать «Завершить процесс».
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru