 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Злоумышленник с правами текущего пользователя может заменить DLL-библиотеку, используемую легитимной программой.
Встроенную в Windows 10 защиту от программ-вымогателей можно обойти при помощи DLL-инъекции. К такому выводу пришел японский специалист Сойа Аойама (Soya Aoyama), поделившийся результатами своего исследования со слушателями ИБ-конференции DerbyCon. Эксперт уведомил Microsoft о найденной бреши, однако разработчики ОС оценили уязвимость как незначительную.
Для борьбы с шифровальщиками в Windows 10 используется функция Controlled Folder Access (Контролируемый доступ к папкам), которая позволяет управлять разрешениями на изменение и чтение файлов. Изменять содержимое защищенных каталогов могут только приложения, отмеченные производителем или пользователем как надежные. По умолчанию в этот список включены системные программы, такие как Проводник или Защитник Windows.
Аойама выяснил, что злоумышленник с правами текущего пользователя может заменить одну из легитимных библиотек, используемую утилитами Windows, на вредоносный DLL-объект. Инфицированная таким образом программа будет обладать всеми правами надежного приложения и сможет шифровать файлы в папке, защищенной Controlled Folder Access.
Как пояснил специалист, при старте Проводник загружает необходимые библиотеки из реестра по адресу HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers, который, в свою очередь, образуется от слияния двух других — системного HKEY_LOCAL_MACHINE и пользовательского HKEY_CURRENT_USER. Последний имеет преимущество при объединении — его DLL-файлы заменяют аналогичные объекты в случае совпадения имен.
В отличие от системных реестров, пользовательский раздел HKEY_CURRENT_USER не требует прав администратора для внесения изменений. Поместив в него модифицированную библиотеку и перезапустив Проводник, японский эксперт сумел предоставить вредоносному скрипту доступ к защищенной папке. Более того, инъекцию не заметил штатный антивирус Windows 10, а также несколько ИБ-продуктов, оснащенных модулями для блокировки вымогателей.
Аналитик сообщил о находке в Microsoft, однако производитель не нашел повода для выпуска патча, устраняющего брешь.
«Атака основывается на том, что злоумышленник уже имеет доступ к целевой учетной записи. Поскольку нападающий может вносить изменения только в реестр HKEY_CURRENT_USER, он не способен воздействовать на других пользователей системы. Возможность повышения привилегий также отсутствует», — ответили представители разработчика специалисту.
Несмотря на усиление контура безопасности в Windows 10, исследователи продолжают находить бреши в защите флагманской операционной системы Microsoft. В июне стало известно, что в файлы формата *.SettingContent-ms, предназначенные для изменения служебных параметров, можно внедрить сторонний скрипт, запускающий вредоносную нагрузку. Расширение не включено в список потенциально опасных процессов, а значит, такие объекты могут быть использованы даже для атаки на компьютеры с максимальными настройками безопасности.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
