Windows File Explorer și WebDAV exploatate pentru a distribui malware
Sursă: https://cybersecuritynews.com
Persoanele rău intenționate exploatează o funcționalitate veche din Windows File Explorer pentru a distribui malware, ocolind sistemele uzuale de securitate ale browserelor web și controalele de detecție de pe endpoint-uri.
Conform unui raport privind amenințările, atacatorii utilizează Web-based Distributed Authoring and Versioning (WebDAV) pentru a determina utilizatorii să execute programe malware.
WebDAV este un protocol de rețea mai vechi bazat pe HTTP, conceput inițial pentru gestionarea fișierelor la distanță.
Deși Microsoft a renunțat oficial la suportul nativ pentru WebDAV în Windows File Explorer în noiembrie 2023, funcționalitatea rămâne accesibilă pe majoritatea sistemelor.
Atacatorii exploatează această funcție trimitând link-uri rău intenționate care forțează File Explorer să se conecteze direct la servere WebDAV la distanță.
Deoarece această conexiune ocolește complet browserele web, utilizatorii nu primesc avertismente de securitate standard bazate pe browser sau solicitări de descărcare.
Serverul la distanță apare pur și simplu ca un folder local, făcând ca fișierele descărcate să pară sigure și stocate local.
Deși Windows afișează un mesaj de alertă implicit atunci când se rulează fișiere dintr-o rețea la distanță, utilizatorii obișnuiți să interacționeze cu partajări de fișiere legitime ale companiei ignoră frecvent acest mesaj.
O particularitate tehnică notabilă face ca această tehnică să fie extrem de dificil de detectat: atunci când un utilizator deschide un director local care conține un fișier .url malițios cu o cale UNC, Windows declanșează automat o căutare DNS.
Acest lucru trimite în mod involuntar un pachet TCP SYN către infrastructura atacatorului, notificându-l că payload-ul este activat, chiar dacă utilizatorul nu a accesat fișierul.
Specialiștii în securitate trebuie să monitorizeze activitatea neobișnuită a rețelei provenită din Windows Explorer și să îi instruiască pe utilizatori să verifice bara de adrese din File Explorer pentru a detecta adresele IP necunoscute.
Această tactică evidențiază un risc mai amplu, deoarece abuzuri similare ar putea implica și alte protocoale, precum FTP și SMB.
Sursă: https://cybersecuritynews.com/hackers-abuse-windows-file-explorer-and-webdav/
