Создать учетную запись? Забыли пароль?
Важные новости портала: Желаем приятного времяпровождения на нашем ресурсе. С уважением, администрация!
cloud
9
Октяб.
Найден способ обхода защиты Windows 10 от вымогателей
Размещено в разделе: Главная; Год публикации: 2018

Исследователь в области кибербезопасности Соя Аояма продемонстрировал метод обхода функции защиты от программ-вымогателей Controlled Folder Access («Контролируемый доступ к папкам»), представленной в Windows 10.

Данный функционал, являющийся частью Windows Defender, служит для предотвращения модификации неизвестными приложениями файлов в защищенных папках. Изменения могут осуществляться только программами из «белого» списка, помеченными как таковые пользователем или по умолчанию Microsoft.

Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска. Поскольку Explorer по умолчанию находится в белом списке, внедренная в него DLL-библиотека получит возможность обойти защиту Controlled Folder Access. Как пояснил исследователь, explorer.exe загружает DLL-библиотеки из списка ключа реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers. По умолчанию при запуске Explorer загружает Shell.dll из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32. Для внедрения вредоносной DLL-библиотеки Аояма просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и установил в качестве значения вредоносный файл. Таким образом, при перезапуске explorer.exe вместо Shell.dll будет запускаться вредоносная DLL-библиотека.

Более подробно метод описан в видео ниже.При тестировании атака осталась незамеченной не только антивирусом Windows Defender, но и другими защитными решениями, включая Avast, ESET, Malwarebytes Premium и McAfee (все продукты имеют функцию защиты от вымогательского ПО).

Перед выступлением на конференции DerbyCon Аояма предоставил Microsoft информацию об уязвимости, включая PoC-код, однако в компании не посчитали нужным выплачивать специалисту награду или выпускать соответствующий патч. Представители Microsoft обосновали решение тем, что проблема может быть проэксплуатирована в случае, если компьютер уже скомпрометирован. Кроме того, атака затрагивает только одну жертву и не предоставляет возможность повышения привилегий.
Показать все комментарии | Поблагодарить автора
Опубликовал: Fellow
Добавление комментария:

Посетители, находящиеся в группе Гости, не могут оставлять комментарии. Авторизируйтесь!

На данный момент на сайте находятся:
Пользователей: 2
krofbars2010
Поисковых ботов: 1
Bing
Гостей: 1
Всех посетителей: 4

* Пользователь покидает список после 5 минут отсутствия на сайте.
Предупреждение! Информация, расположенная на данном сервере, предназначена исключительно для частного использования в образовательных целях и не может быть загружена/перенесена на другой компьютер. Ни владелец сайта, ни хостинг-провайдер, ни любые другие физические или юридические лица не могут нести никакой отвественности за любое использование материалов данного сайта. Входя на сайт, Вы, как пользователь, тем самым подтверждаете полное и безоговорочное согласие со всеми условиями использования. Авторы проекта относятся особо негативно к нелегальному использованию информации, полученной на сайте.