Eine neue Methode zum Beschädigen des Windows Ransomware-Schutzes wurde entdeckt. Hacker können den kontrollierten Ordnerzugriff über den Windows-Registrierungseditor umgehen.
Microsoft hat kürzlich eine Funktion hinzugefügt, als Controlled Folder Access bekannt. Die Funktion wurde zu stoppen, um Änderungen von Dateien verwendet, die in geschützten Ordnern befinden, der von unbekannten Programmen kann nicht zugegriffen werden. Leider, Diese Funktion wurde durch einen einfachen Registrierungswert umgangen, der von den Forschern Soya Aoyama, einem Sicherheitsspezialisten bei Fujitsu System Integration Laboratories Ltd..
verbunden: Fenster 10 Anniversary-Update Mit Ransomware-Schutz
Wie der Windows Ransomware-Schutz umgangen wird
Der Forscher hat demonstriert ein Angriff über eine bösartige DLL-Injektionen in den Windows Explorer. Seit Explorer ist in den vertrauenswürdigen Dienste von Windows, wenn die DLL in sie injiziert, Es wird ein Skript ausgeführt, das die Funktion für den Ransomware-Schutz von Windows umgeht.
Dies kann durch einen Angriff auf Windows-erreicht werden „wo es am meisten wehtut“ - dem Windows-Registrierungs-Editor. Beim Start, th DLLs werden unter einem zufälligen Unterschlüssel geladen, in den folgenden Unterschlüssel befindet:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Dies führt zu mehreren unterschiedlichen Ergebnissen, er wichtigsten davon sind die Registrierungsschlüssel, der erstellt wird, repliziert sich zu HKEY_LOCAL_MACHINE und HKEY_CLASSES_ROOT Bäume. Wenn Windows Explorer ausgeführt, es beginnt Shell.dll aus dem folgenden Registrierungsunterschlüssel zu laden:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Kurz darauf geschieht, die bösartige DLL in explorer.exe geladen und die Forscher setzen Sie einfach den Standardwert der DLL 0.
Was beim Aufheben des Windows-Ransomware-Schutzes folgt, ist der Windows Explorer (explorer.exe) wird heruntergefahren und mit der bösartigen DLL in ihm gerade ausgeführt werden neu gestartet. Daraus ergibt sich die vollständige Umgehung des Access-Funktion Kontrollierte Ordner.
Nicht nur die DLL hat Bypass Windows Defender, aber es umgangen auch große Antiviren-Produkte, wie:
- Avast.
- CASE.
- Malwarebytes Premium-.
- McAfee.
So lautet das Fazit ist, dass die Forscher die Vorteile der Anwendungen hat, die Berechtigungen über die kontrollierte Ordnerzugriffsfunktion haben und diese Berechtigungen in der DLL-Angriff verwenden.
Microsoft hatte in ihrer Verteidigung zu sagen, dass Aoyama Zugang gewonnen zuvor auf den Computer sie die Verwundbarkeit unter Beweis gestellt hat und so können sie ihn nicht dies kompensieren, Das ist ziemlich seltsam. Aber was nicht seltsam ist, dass Sie nicht einmal Administratorrechte benötigen die Ransomware Schutz von Controlled Folder Access zu hacken und das ist ziemlich beunruhigend.