Windowsランサムウェア保護を破壊する新しい方法が発見されました. ハッカーは、Windowsレジストリエディタを介して制御されたフォルダアクセスをバイパスできます.
Microsoftは最近機能を追加しました, 制御されたフォルダアクセスとして知られています. この機能は、未知のプログラムがアクセスできない保護されたフォルダにあるファイルの変更を停止するために使用されています. 不運にも, この機能は、富士通システムインテグレーションラボラトリーズのセキュリティスペシャリストである青山宗也の研究者によって作成された単純なレジストリ値によってバイパスされています。.
関連している: ウィンドウズ 10 ランサムウェア保護による記念日の更新
Windowsランサムウェア保護がバイパスされる方法
研究者 実証済み Windowsエクスプローラへの悪意のあるDLLインジェクションによる攻撃. ExplorerはWindowsの信頼できるサービスに含まれているため, DLLが挿入されたとき, Windowsのランサムウェア保護機能をバイパスするスクリプトを実行します.
これは、「最も痛いところ」にあるWindowsを攻撃することで実現できます–Windowsレジストリエディタ. 開始時, DLLはランダムなサブキーの下にロードされます, 次のサブキーにあります:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
これはいくつかの異なる結果につながります, その主なものは、作成されたレジストリキーであり、HKEY_LOCAL_MACHINEツリーとHKEY_CLASSES_ROOTツリーに自分自身を複製します。. Windowsエクスプローラーを実行したとき, 次のレジストリサブキーからShell.dllのロードを開始します:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
これが起こった直後, 悪意のあるDLLがexplorer.exeに読み込まれ、研究者はDLLのデフォルト値を次のように設定するだけです。 0.
Windowsランサムウェアの保護を破るプロセスで続くのは、Windowsエクスプローラーです。 (explorer.exe) 悪意のあるDLLが実行されている状態でシャットダウンおよび再起動されます. これにより、制御されたフォルダアクセス機能が完全にバイパスされます。.
DLLがWindowsDefenderをバイパスしただけではありません, しかし、それは大きなウイルス対策製品もバイパスしました, お気に入り:
- アバスト.
- ESET.
- Malwarebytes Premium.
- マカフィー.
つまり、研究者は、制御されたフォルダアクセス機能に対するアクセス許可を持つアプリケーションを利用し、DLL攻撃でこれらのアクセス許可を使用したということです。.
マイクロソフトは彼らの弁護でそれを言わなければなりませんでした 青山 以前に彼が脆弱性を示したコンピューターにアクセスしたことがあるため、これを補償することはできません。, これはかなり奇妙です. しかし、奇妙なことではありませんが、Controlled Folder Accessのランサムウェア保護をハッキングするために管理者権限さえ必要とせず、それは非常に厄介です。.