Se ha descubierto un nuevo método para dañar la protección contra ransomware de Windows. Los piratas informáticos pueden evitar el acceso controlado a carpetas a través del Editor del registro de Windows.
Microsoft ha agregado recientemente una característica, conocida como Acceso Controlado carpeta. La característica se ha utilizado con el fin de detener las modificaciones de archivos que residen en carpetas protegidas que no pueden acceder los programas desconocidos. Desafortunadamente, esa característica ha sido ignorada por un simple valor de registro creado por los investigadores Soya Aoyama, especialista en seguridad de Fujitsu System Integration Laboratories Ltd.
Relacionado: Ventanas 10 Actualización de aniversario con la protección de ransomware
Cómo se omite la protección contra ransomware de Windows
El investigador ha demostrado un ataque a través de unas inyecciones maliciosos DLL en el Explorador de Windows. Desde Explorer está en los servicios de confianza de las ventanas, cuando el DLL se inyecta en ella, ejecutará un script que omite la función de protección contra ransomware de Windows.
Esto se puede lograr mediante el ataque de Windows “donde más duele” - el Editor del Registro de Windows. cuando se inicia, th DLL se cargan bajo una sub-clave aleatoria, situada en la sub-clave siguiente:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Esto conduce a varios resultados diferentes, lo principal de las cuales son la clave de registro que se crea replica a sí mismo a los árboles HKEY_LOCAL_MACHINE y HKEY_CLASSES_ROOT. Cuando se ejecuta el Explorador de Windows, se empieza a cargar Shell.dll de la sub-clave del Registro siguiente:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Poco después de esto sucede, la DLL malicioso se carga en explorer.exe y el investigador simplemente establece el valor predeterminado de la DLL de 0.
Lo que sigue en el proceso de romper la protección contra ransomware de Windows es que el Explorador de Windows (explorer.exe) se apaga y se reanuda con la DLL malicioso que había sido ejecutado en ella. Esto resulta en la derivación completa de la función de Acceso Controlado carpeta.
No sólo hizo la DLL de derivación Windows Defender, pero también pasa por alto grandes productos antivirus, gusta:
- Avast.
- CASO.
- Malwarebytes premium.
- McAfee.
Así que la conclusión es que el investigador se aprovechó de las aplicaciones que tienen permisos sobre la función Carpeta de acceso controlado y utilizan estos permisos en el ataque DLL.
Microsoft tenía que decir en su defensa que Aoyama ha tenido acceso con anterioridad a la computadora demostró la vulnerabilidad y por lo tanto ellos no pueden compensar esta, que es bastante extraño. Pero lo que no es extraño es que usted ni siquiera necesita privilegios de administrador para piratear la protección ransomware de acceso para carpetas controlada y que es bastante molesto.