Η Microsoft εισήγαγε ατα Windows 10 μια νέα προστασία κατά των ransomware, την Controlled Folder Access, με την οποία μπορεί να αποκλειστεί η πρόσβαση σε προστατευμένους φακέλους από άγνωστα προγράμματα. Όπως έδειξε ένας ερευνητής στο DerbyCon Security Conference, η προστασία μπορεί να ξεπεραστεί μέσω DLL injection.
Η προστασία λειτουργεί μέσω μιας "λευκής" λίστας επιτρεπόμενων προγραμμάτων, που έχουν οριστεί από την Microsoft και από τον χρήστη. Γνωρίζοντας πως ο explorer.exe είναι whitelisted, ο Soya Aoyama βρήκε τρόπο να να εισάγει κακόβουλο DLL στον Explorer, ο οποίος μπορεί να τρέξει κανονικά στους προστατευμένους φακέλους, μαζί με το μολυσμένο DLL.
Ο ερευνητής ενημέρωσε την Microsoft, η οποία θεώρησε πως δεν υπάρχει λόγος έκδοσης patch ή πληρωμής αμοιβής για την έυρεση κενού ασφαλείας.Aoyama relied on the fact that when explorer.exe starts, it will load DLLs found under the HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers registry key
Πηγή : Bleeping ComputerMicrosoft, though, did not feel that this was a vulnerability that warranted a bounty or that requires a patch.
"If I am interpreting your findings correctly, this report predicated on the attacker having login access to the target's account already," stated Microsoft's response to Aoyama. "Followed by planting a DLL through registry modifications. Since you are only able to write to the HKCU, you will not be able to effect other users, just the target you have already compromised through other means. There also does not appear to be an escalation privileges and you already had the same access level as the target."
Εμφάνιση 1-5 από 5
-
10-10-18, 19:39 Ερευνητής κατάφερε να ξεπεράσει τον μηχανισμό προστασίας από ransomware των Windows 10 #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.120
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
10-10-18, 21:06 Απάντηση: Ερευνητής κατάφερε να ξεπεράσει τον μηχανισμό προστασίας από ransomware των Windows 10 #2
Μου φαίνεται τίμια η απάντηση της Microsoft, εκτός αν χάνω κάτι.
-
11-10-18, 02:45 Απάντηση: Ερευνητής κατάφερε να ξεπεράσει τον μηχανισμό προστασίας από ransomware των Windows 10 #3
Ναι το ίδιο βλέπω και εγώ.
-
11-10-18, 09:45 Απάντηση: Ερευνητής κατάφερε να ξεπεράσει τον μηχανισμό προστασίας από ransomware των Windows 10 #4
Όταν λέμε ransomware, σημασία έχει να προστατέψεις ακόμα και τον ίδιο τον χρήστη που έκανε την χαζομάρα και τον "protected folder" , όχι μόνο τους υπόλοιπους. Αλλιώς τι αξία έχει;
Αν το ενεργοποιούσα, θα θεωρούσα πράγματι ότι μόνο τα allowed προγράμματα θα είχαν access. Αν ένα οποιοδήποτε πρόγραμμα μπορεί να γράψει στην HKLU registry, και ο exporer θα φορτώσει το dll, στην ουσία καταστρατηγεί την ένα των "allowed" προγραμμάτων.
Οπότε, ανοίγεις "ransomware infected" app που δεν έχει access, γράφει στην registry, φορτώνει explorer, "παίρνει" access, κάνει ζημιά.
Ποιος ο λόγος να το έχεις on τότε είπαμε;Working from home
-
13-10-18, 15:15 Απάντηση: Ερευνητής κατάφερε να ξεπεράσει τον μηχανισμό προστασίας από ransomware των Windows 10 #5
Ε, πως ακριβώς θα γράψει ένα πρόγραμμα στο HKEY_CLASSES_ROOT όταν δεν έχει access;
Παρόμοια Θέματα
-
Είναι language specific το license key των Windows 10?
Από Arkady στο φόρουμ WindowsΜηνύματα: 5Τελευταίο Μήνυμα: 23-08-18, 21:42 -
H Google κατάφερε να γλυτώσει 19 δισεκατομμύρια δολάρια απο φόρους για το 2016
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 29Τελευταίο Μήνυμα: 07-01-18, 04:46 -
Σε 600 εκατομμύρια συσκευές έφτασε η χρήση των Windows 10
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 23Τελευταίο Μήνυμα: 05-12-17, 01:12 -
Ξεκίνησε η διάθεση της αναβάθμισης Fall Creators Update των Windows 10
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 97Τελευταίο Μήνυμα: 08-11-17, 10:07 -
Πρόβλημα με την μνήμη CACHE των Windows 10; Ένα πολύ περίεργο και σοβαρό πρόβλημα
Από dhmk στο φόρουμ WindowsΜηνύματα: 3Τελευταίο Μήνυμα: 18-10-17, 20:06
Bookmarks