Um novo método para corromper a proteção do Windows Ransomware foi descoberto. Os hackers podem ignorar o acesso controlado a pastas por meio do Editor de registro do Windows.
A Microsoft adicionou recentemente um recurso, conhecido como Acesso pasta controlada. O recurso foi usado para impedir modificações de arquivos que residem em pastas protegidas que não podem ser acessadas por programas desconhecidos. Infelizmente, esse recurso foi contornado por um valor de registro simples criado pelos pesquisadores Soya Aoyama, especialista em segurança da Fujitsu System Integration Laboratories Ltd.
relacionado: janelas 10 Atualização de aniversário com proteção contra ransomware
Como a proteção contra ransomware do Windows é contornada
O pesquisador demonstrou um ataque através de injeções maliciosas de DLL no Windows Explorer. Como o Explorer está nos serviços confiáveis do Windows, quando a DLL é injetada nele, ele irá executar um script que ignora o recurso de proteção contra ransomware do Windows.
Isso pode ser alcançado atacando o Windows “onde dói mais” - o Editor de Registro do Windows. Quando começou, as DLLs são carregadas em uma subchave aleatória, localizado na seguinte subchave:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Isso leva a vários resultados diferentes, O principal dos quais é a chave de registro que é criada se replica nas árvores HKEY_LOCAL_MACHINE e HKEY_CLASSES_ROOT. Quando o Windows Explorer é executado, ele começa a carregar Shell.dll a partir da seguinte subchave do registro:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Logo após isso acontecer, a DLL maliciosa é carregada no explorer.exe e o pesquisador simplesmente define o valor padrão da DLL para 0.
O que se segue no processo de quebra da proteção contra ransomware do Windows é que o Windows Explorer (explorer.exe) é desligado e reiniciado com o DLL malicioso sendo executado nele. Isso resulta no desvio completo do recurso de acesso controlado à pasta.
Não apenas a DLL contornou o Windows Defender, mas também contornou grandes produtos antivírus, gostar:
- avast.
- ESET.
- Malwarebytes Premium.
- McAfee.
Portanto, o ponto principal é que o pesquisador aproveitou os aplicativos que têm permissões sobre o recurso de Acesso à pasta controlada e usa essas permissões no ataque de DLL.
A Microsoft disse em sua defesa que Aoyama obteve acesso anteriormente ao computador, ele demonstrou a vulnerabilidade e, portanto, eles não podem compensá-lo por isso, o que é bastante estranho. Mas o que não é estranho é que você nem precisa de privilégios administrativos para hackear a proteção de ransomware do Acesso Controlado à Pasta e isso é bastante perturbador.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: