CYBER NEWS

Windows Ransomware Beskyttelse kan hackes nemt

En ny metode til at omgå Kontrolleret Mappe Adgang via Windows Registry Editor er blevet opdaget at arbejde fejlfrit.




Microsoft har recenty tilføjet en funktion, kendt som Kontrolleret Folder Access. Funktionen er blevet brugt for at stoppe ændringer af filer, der er bosiddende i beskyttede mapper, som ikke kan tilgås af ukendte programmer. Desværre denne funktion er blevet omgået ved en simpel indskrive værdi, der skabes y forskerne Soya Aoyama en sikkerhed specialist på Fujitsu Systemintegration Laboratories Ltd.

Relaterede: Vinduer 10 Anniversary Opdatering Med Ransomware Protection

Hvordan Bypass af Controlled Folder Access Happens

Forskeren har demonstreret et angreb via en ondsindet DLL injektioner i Windows Stifinder. Da Explorer er i de betroede tjenester af Windows, når DLL injiceres i det, det vil køre en et script, der omgår funktion for ransomware beskyttelse af Windows.

Dette kan opnås ved at angribe Windows ”hvor det gør ondt mest” - Windows Registreringseditor. Når startede, th DLLs indlæst under en tilfældig undernøgleindekssektion, placeret i følgende sub-nøgle:

→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers

Dette fører til flere forskellige udfald, Han vigtigste af dem er nøglen i registreringsdatabasen, der er skabt kopierer sig selv til HKEY_LOCAL_MACHINE og HKEY_CLASSES_ROOT træer. Når Windows Stifinder udføres, det begynder at indlæse Shell.dll fra følgende registreringsdatabasen sub-nøgle:

→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InprocServer32

Kort efter dette sker, den skadelige DLL indlæses i explorer.exe og forskeren blot angive standardværdien af ​​DLL til 0.

Hvad der følger er, at Windows Stifinder (explorer.exe) er lukket ned og genstartet med den ondsindede DLL blive henrettet i det. Dette resulterer i en fuldstændig omgåelse af Controlled Folder Access-funktionen.

Ikke kun DLL gjorde bypass Windows Defender, men det forbigået også store antivirus produkter, lignende:

  • Avast.
  • SAG.
  • Malwarebytes Premium.
  • McAfee.

Så på bundlinjen er, at forskeren udnyttede de programmer, der har tilladelser over Kontrolleret Folder Access-funktionen og bruge disse tilladelser i DLL angreb.




Microsoft havde at sige i deres forsvar, at Aoyama har fået adgang tidligere til computeren han demonstrerede sårbarheden og dermed kan de ikke kompensere ham for denne, der er mærkværdig. Men hvad der ikke er mærkeligt, er, at du ikke engang behøver administratorrettigheder at hacke den ransomware beskyttelse af Controlled Folder Access og det er ganske foruroligende.

Avatar

Ventsislav Krastev

Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.

Flere indlæg - Websted

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...