Контакты
Подписка
МЕНЮ
Контакты
Подписка

Найден способ обхода защиты Windows 10 от вымогателей

Найден способ обхода защиты Windows 10 от вымогателей

Найден способ обхода защиты Windows 10 от вымогателей


10.10.2018



Исследователь в области кибербезопасности Соя Аояма продемонстрировал метод обхода функции защиты от программ-вымогателей Controlled Folder Access ("Контролируемый доступ к папкам"), представленной в Windows 10. Данный функционал, являющийся частью Windows Defender, служит для предотвращения модификации неизвестными приложениями файлов в защищенных папках. Изменения могут осуществляться только программами из "белого" списка, помеченными как таковые пользователем или по умолчанию Microsoft.

 Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска. Поскольку Explorer по умолчанию находится в белом списке, внедренная в него DLL-библиотека получит возможность обойти защиту Controlled Folder Access. Как пояснил исследователь, explorer.exe загружает DLL-библиотеки из списка ключа реестра HKEY_CLASSES_ROOT*shellexContextMenuHandlers. По умолчанию при запуске Explorer загружает Shell.dll из ключа HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{90AA3A4E-1CBA-4233-B8BB-535773D48449}InProcServer32. Для внедрения вредоносной DLL-библиотеки Аояма просто создал ключ HKCUSoftwareClassesCLSID{90AA3A4E-1CBA-4233-B8BB-535773D48449}InProcServer32 и установил в качестве значения вредоносный файл. Таким образом, при перезапуске explorer.exe вместо Shell.dll будет запускаться вредоносная DLL-библиотека.

 Более подробно метод описан в видео.

При тестировании атака осталась незамеченной не только антивирусом Windows Defender, но и другими защитными решениями, включая Avast, ESET, Malwarebytes Premium и McAfee (все продукты имеют функцию защиты от вымогательского ПО).

 Перед выступлением на конференции DerbyCon Аояма предоставил Microsoft информацию об уязвимости, включая PoC-код, однако в компании не посчитали нужным выплачивать специалисту награду или выпускать соответствующий патч. Представители Microsoft обосновали решение тем, что проблема может быть проэксплуатирована в случае, если компьютер уже скомпрометирован. Кроме того, атака затрагивает только одну жертву и не предоставляет возможность повышения привилегий.

 

 

Securitylab