Une nouvelle méthode pour corrompre la protection Windows Ransomware a été découverte. Les pirates peuvent contourner l'accès contrôlé aux dossiers via l'éditeur de registre Windows.
Microsoft a récemment ajouté une fonctionnalité, connu sous le nom d'accès du dossier contrôlé. La fonction a été utilisé afin d'arrêter les modifications des fichiers qui résident dans des dossiers protégés qui ne peuvent être accessibles par des programmes inconnus. Malheureusement, cette fonctionnalité a été contournée par une simple valeur de registre créée par les chercheurs Soya Aoyama un spécialiste de la sécurité chez Fujitsu System Integration Laboratories Ltd.
en relation: Fenêtres 10 Mise à jour anniversaire avec la protection Ransomware
Comment la protection contre les ransomwares de Windows est contournée
Le chercheur a démontré une attaque par une injection de DLL malveillant dans l'Explorateur Windows. Depuis Explorer dans les services de confiance de Windows, lorsque la DLL est injecté dans ce, il exécutera un script qui contourne la fonction de protection contre les ransomwares de Windows.
Ceci peut être réalisé en attaquant Windows « où ça fait mal » - l'éditeur du Registre Windows. Au démarrage, DLLs e sont chargés dans un sous-clé aléatoire, situé dans la sous-clé suivante:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Cela conduit à plusieurs résultats différents, il dont les principaux sont la clé de Registre qui est créé se réplique aux arbres HKEY_LOCAL_MACHINE et HKEY_CLASSES_ROOT. Lorsque l'Explorateur Windows est exécuté, il commence à charger Shell.dll de la sous-clé de Registre suivante:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Peu de temps après cela se produit, la DLL malveillant est chargé dans explorer.exe et le chercheur défini simplement la valeur par défaut de la DLL 0.
Ce qui suit dans le processus de rupture de la protection contre les ransomwares de Windows est que l'Explorateur Windows (explorer.exe) est arrêté et redémarré avec la DLL malicieuse en cours d'exécution dans ce. Il en résulte le contournement complet du dossier contrôlé fonction d'accès.
Non seulement la DLL Windows Defender ne by-pass, mais elle a aussi contournée grands produits anti-virus, comme:
- Avast.
- CAS.
- Malwarebytes prime.
- McAfee.
Ainsi, la ligne de fond est que le chercheur a profité des applications qui ont des autorisations sur la fonction Dossier à accès contrôlé et utilisent ces autorisations dans l'attaque DLL.
Microsoft avait à dire dans leur défense Aoyama a obtenu l'accès précédemment à l'ordinateur, il a démontré la vulnérabilité et donc ils ne peuvent pas lui compenser ce, qui est assez étrange. Mais ce n'est pas étrange que vous ne même pas besoin de privilèges d'administrateur pour pirater la protection ransomware d'accès des dossiers contrôlés et qui est assez inquiétant.