En ny metode til at ødelægge Windows Ransomware-beskyttelse er blevet opdaget. Hackere kan omgå kontrolleret mappeadgang via Windows Registreringseditor.
Microsoft har for nylig tilføjet en funktion, kendt som Kontrolleret Folder Access. Funktionen er blevet brugt for at stoppe ændringer af filer, der er bosiddende i beskyttede mapper, som ikke kan tilgås af ukendte programmer. Desværre, denne funktion er blevet omgået af en simpel registreringsværdi, der er oprettet, og forskerne Soya Aoyama, en sikkerhedsspecialist hos Fujitsu System Integration Laboratories Ltd.
Relaterede: Vinduer 10 Anniversary Opdatering Med Ransomware Protection
Sådan omgåes Windows Ransomware-beskyttelse
Forskeren har demonstreret et angreb via en ondsindet DLL injektioner i Windows Stifinder. Da Explorer er i de betroede tjenester af Windows, når DLL injiceres i det, det kører et script, der omgår funktionen til ransomware-beskyttelse af Windows.
Dette kan opnås ved at angribe Windows ”hvor det gør ondt mest” - Windows Registreringseditor. Når startede, th DLLs indlæst under en tilfældig undernøgleindekssektion, placeret i følgende sub-nøgle:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Dette fører til flere forskellige udfald, Han vigtigste af dem er nøglen i registreringsdatabasen, der er skabt kopierer sig selv til HKEY_LOCAL_MACHINE og HKEY_CLASSES_ROOT træer. Når Windows Stifinder udføres, det begynder at indlæse Shell.dll fra følgende registreringsdatabasen sub-nøgle:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InprocServer32
Kort efter dette sker, den skadelige DLL indlæses i explorer.exe og forskeren blot angive standardværdien af DLL til 0.
Hvad der følger i processen med at bryde Windows ransomware-beskyttelsen er, at Windows Stifinder (explorer.exe) er lukket ned og genstartet med den ondsindede DLL blive henrettet i det. Dette resulterer i en fuldstændig omgåelse af Controlled Folder Access-funktionen.
Ikke kun DLL gjorde bypass Windows Defender, men det forbigået også store antivirus produkter, lignende:
- Avast.
- SAG.
- Malwarebytes Premium.
- McAfee.
Så på bundlinjen er, at forskeren udnyttede de programmer, der har tilladelser over Kontrolleret Folder Access-funktionen og bruge disse tilladelser i DLL angreb.
Microsoft havde at sige i deres forsvar, at Aoyama har fået adgang tidligere til computeren han demonstrerede sårbarheden og dermed kan de ikke kompensere ham for denne, der er mærkværdig. Men hvad der ikke er mærkeligt, er, at du ikke engang behøver administratorrettigheder at hacke den ransomware beskyttelse af Controlled Folder Access og det er ganske foruroligende.