Casa > Ciber Noticias > La protección contra ransomware de Windows se puede piratear fácilmente
CYBER NOTICIAS

Protección ransomware Windows puede ser fácilmente hackeado

Protección ransomware ventanas

Se ha descubierto un nuevo método para dañar la protección contra ransomware de Windows. Los piratas informáticos pueden evitar el acceso controlado a carpetas a través del Editor del registro de Windows.




Microsoft ha agregado recientemente una característica, conocida como Acceso Controlado carpeta. La característica se ha utilizado con el fin de detener las modificaciones de archivos que residen en carpetas protegidas que no pueden acceder los programas desconocidos. Desafortunadamente, esa característica ha sido ignorada por un simple valor de registro creado por los investigadores Soya Aoyama, especialista en seguridad de Fujitsu System Integration Laboratories Ltd.

Relacionado: Ventanas 10 Actualización de aniversario con la protección de ransomware

Cómo se omite la protección contra ransomware de Windows

El investigador ha demostrado un ataque a través de unas inyecciones maliciosos DLL en el Explorador de Windows. Desde Explorer está en los servicios de confianza de las ventanas, cuando el DLL se inyecta en ella, ejecutará un script que omite la función de protección contra ransomware de Windows.

Esto se puede lograr mediante el ataque de Windows “donde más duele” - el Editor del Registro de Windows. cuando se inicia, th DLL se cargan bajo una sub-clave aleatoria, situada en la sub-clave siguiente:

→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers

Esto conduce a varios resultados diferentes, lo principal de las cuales son la clave de registro que se crea replica a sí mismo a los árboles HKEY_LOCAL_MACHINE y HKEY_CLASSES_ROOT. Cuando se ejecuta el Explorador de Windows, se empieza a cargar Shell.dll de la sub-clave del Registro siguiente:

→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32

Poco después de esto sucede, la DLL malicioso se carga en explorer.exe y el investigador simplemente establece el valor predeterminado de la DLL de 0.

Lo que sigue en el proceso de romper la protección contra ransomware de Windows es que el Explorador de Windows (explorer.exe) se apaga y se reanuda con la DLL malicioso que había sido ejecutado en ella. Esto resulta en la derivación completa de la función de Acceso Controlado carpeta.

No sólo hizo la DLL de derivación Windows Defender, pero también pasa por alto grandes productos antivirus, gusta:

  • Avast.
  • CASO.
  • Malwarebytes premium.
  • McAfee.

Así que la conclusión es que el investigador se aprovechó de las aplicaciones que tienen permisos sobre la función Carpeta de acceso controlado y utilizan estos permisos en el ataque DLL.




Microsoft tenía que decir en su defensa que Aoyama ha tenido acceso con anterioridad a la computadora demostró la vulnerabilidad y por lo tanto ellos no pueden compensar esta, que es bastante extraño. Pero lo que no es extraño es que usted ni siquiera necesita privilegios de administrador para piratear la protección ransomware de acceso para carpetas controlada y que es bastante molesto.

Ventsislav Krastev

Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.

Más Mensajes - Sitio web

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo