SOS :: Security Operation Space
21 октября, воскресенье, 00:00
|
Hot News:

Эксперт взломал защиту от шифровальщиков в Windows 10

11 октября 2018 г., четверг, 11:13

Злоумышленник с правами текущего пользователя может заменить DLL-библиотеку, используемую легитимной программой.

Встроенную в Windows 10 защиту от программ-вымогателей можно обойти при помощи DLL-инъекции. К такому выводу пришел японский специалист Сойа Аойама (Soya Aoyama), поделившийся результатами своего исследования со слушателями ИБ-конференции DerbyCon. Эксперт уведомил Microsoft о найденной бреши, однако разработчики ОС оценили уязвимость как незначительную.

Для борьбы с шифровальщиками в Windows 10 используется функция Controlled Folder Access (Контролируемый доступ к папкам), которая позволяет управлять разрешениями на изменение и чтение файлов. Изменять содержимое защищенных каталогов могут только приложения, отмеченные производителем или пользователем как надежные. По умолчанию в этот список включены системные программы, такие как Проводник или Защитник Windows.

Аойама выяснил, что злоумышленник с правами текущего пользователя может заменить одну из легитимных библиотек, используемую утилитами Windows, на вредоносный DLL-объект. Инфицированная таким образом программа будет обладать всеми правами надежного приложения и сможет шифровать файлы в папке, защищенной Controlled Folder Access.

Как пояснил специалист, при старте Проводник загружает необходимые библиотеки из реестра по адресу HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers, который, в свою очередь, образуется от слияния двух других — системного HKEY_LOCAL_MACHINE и пользовательского HKEY_CURRENT_USER. Последний имеет преимущество при объединении — его DLL-файлы заменяют аналогичные объекты в случае совпадения имен.

В отличие от системных реестров, пользовательский раздел HKEY_CURRENT_USER не требует прав администратора для внесения изменений. Поместив в него модифицированную библиотеку и перезапустив Проводник, японский эксперт сумел предоставить вредоносному скрипту доступ к защищенной папке. Более того, инъекцию не заметил штатный антивирус Windows 10, а также несколько ИБ-продуктов, оснащенных модулями для блокировки вымогателей.

Аналитик сообщил о находке в Microsoft, однако производитель не нашел повода для выпуска патча, устраняющего брешь.

«Атака основывается на том, что злоумышленник уже имеет доступ к целевой учетной записи. Поскольку нападающий может вносить изменения только в реестр HKEY_CURRENT_USER, он не способен воздействовать на других пользователей системы. Возможность повышения привилегий также отсутствует», — ответили представители разработчика специалисту.

Несмотря на усиление контура безопасности в Windows 10, исследователи продолжают находить бреши в защите флагманской операционной системы Microsoft. В июне стало известно, что в файлы формата *.SettingContent-ms, предназначенные для изменения служебных параметров, можно внедрить сторонний скрипт, запускающий вредоносную нагрузку. Расширение не включено в список потенциально опасных процессов, а значит, такие объекты могут быть использованы даже для атаки на компьютеры с максимальными настройками безопасности.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
08:15
17:15
16:34
15:15
14:07
13:15
12:39
12:15
12:15
11:15
10:15
09:15
08:15
08:15
08:15
07:15
07:15
06:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.124
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.