È stato scoperto un nuovo metodo per corrompere la protezione di Windows Ransomware. Gli hacker possono bypassare l'accesso controllato alle cartelle tramite l'editor del registro di Windows.
Microsoft ha recentemente aggiunto una funzionalità, conosciuto come Folder Access Controlled. La funzione è stata utilizzata per fermare le modifiche dei file che risiedono in cartelle protette che non possono essere raggiunte da programmi sconosciuti. Sfortunatamente, questa funzione è stata aggirata da un semplice valore di registro creato dai ricercatori Soya Aoyama, specialista della sicurezza presso Fujitsu System Integration Laboratories Ltd.
Correlata: Windows 10 Anniversario Aggiornamento Con ransomware Protezione
Come viene ignorata la protezione da Windows Ransomware
Il ricercatore ha dimostrato un attacco tramite un maligno iniezioni DLL in Windows Explorer. Dal momento che Explorer è nei servizi di fiducia di Windows, quando la DLL viene iniettato in esso, eseguirà uno script che ignora la funzionalità per la protezione da ransomware di Windows.
Ciò può essere ottenuto attaccando Windows “dove fa più male” - il Windows Registry Editor. quando viene avviato, DLL th vengono caricate in una sotto-chiave casuale, trova nella seguente sotto-chiave:
→ HKEY_CLASSES_ROOT * ShellEx ContextMenuHandlers
Questo porta a diversi esiti diversi, egli principali dei quali sono la chiave di registro che viene creato si replica a HKEY_LOCAL_MACHINE e HKEY_CLASSES_ROOT alberi. Quando viene eseguito, Esplora risorse di Windows, comincia a caricare Shell.dll dal sub-seguente chiave di registro:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Poco dopo questo accade, la DLL dannoso viene caricata in explorer.exe e il ricercatore è sufficiente impostare il valore di default della DLL per 0.
Ciò che segue nel processo di rottura della protezione da ransomware di Windows è che Windows Explorer (explorer.exe) viene arrestato e riavviato con il DLL dannoso eseguito in essa. Ciò si traduce in l'elusione completa della funzione di accesso cartella Controlled.
Non solo la DLL ha fatto bypass Windows Defender, ma anche bypassato grandi prodotti antivirus, come:
- Avast.
- CASE.
- Malwarebytes Premium.
- McAfee.
Così la linea di fondo è che il ricercatore ha approfittato delle applicazioni che dispongono di autorizzazioni oltre la funzione di Accesso Cartella Controllata e utilizzano queste autorizzazioni in attacco DLL.
Microsoft aveva da dire in loro difesa che Aoyama ha ottenuto l'accesso in precedenza al computer ha dimostrato la vulnerabilità e quindi non lo può compensare questa, che è piuttosto strano. Ma ciò che non è strano è che non avrete nemmeno bisogno dei privilegi amministrativi per incidere la protezione ransomware di accesso Cartella Controllata e che è abbastanza inquietante.
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: