Пятница, 27 ноября, 12:42
дома безопасность «Wsreset» в Магазине Windows 10 позволяет обойти антивирус

"Wsreset" Магазина Windows 10 позволяет обойти антивирус.

Новая методика использует инструмент Windows Store Microsoft 10 wsreset и может обходить антивирусную защиту на хосте без обнаружения.

Wsreset.exe - это легальный инструмент для устранения неполадок, который позволяет пользователям диагностировать проблемы в Магазине Windows и восстанавливать его кэш.

Пентестер и исследователь Дэниел Геберт обнаружили, что wsreset.exe может использоваться для произвольного удаления файлов.

Так как wsreset.exe работает с повышенными разрешениями, потому что он имеет дело с настройками Windows, это ошибка позволит им злоумышленники удаляйте файлы, даже если они обычно не имеют разрешений.

Удалить файлы с помощью wsreset.exe

При создании временных временных файлов памяти и куки, Магазин Windows хранит эти файлы в следующих каталогах:

Проанализировав утилиту wsreset, Геберт обнаружил, что инструмент удаляет файлы на этих папкитем самым восстанавливая кеш и куки для приложения Магазина Windows.

Упомянутая здесь техника эксплуатации основана на простом понятии «сшивки папок», которые похожи.

Если злоумышленник может создать ссылку, которая перенаправляет этот путь \ InetCookies в целевой каталог по своему выбору нарушитель, целевой каталог будет тем каталогом, который будет удален при запуске wsreset. Это потому, что по умолчанию wsreset работает с высокими значениями по умолчанию.

Для начала злоумышленник сначала удаляет папку \ INetCookies (которая в противном случае была бы удалена утилитой wsreset). Ограниченные пользователи могут удалить его папка, так что это не проблема - либо злоумышленник контролирует учетную запись пользователя, либо вредоносный скрипт выполненный на аккаунте нарушителя может этого добиться.

После этого злоумышленник создает ссылку или «соединение папок», в результате чего сайт \ INetCookies указывает на привилегированное место, которое желает удалить wsreset.exe.

В приведенном ниже примере злоумышленник сопоставил каталог \ INetCookies с «C: \ Windows \ System32 \ drivers \ etc». Папки \ etc содержат важные файлы конфигурации, в том числе файл hosts для настройки локальных правил DNS.

«Это можно сделать с помощью mklink.exe с параметром '/ J' или с помощью команды Powerhell new-item с параметром '-ItemType'», - объясняет Гелберт в своем блоге.

Теперь, когда "wsreset" выполняется злоумышленником или его скриптом, папка "\ etc", которая в противном случае потребовала бы очистки, увеличилась. права, будут удалены.

Злоупотребление wsreset, чтобы обойти антивирус

Исследователь продемонстрировал, как это поведение можно использовать для обхода антивируса, сосредоточив внимание на Adaware Например.

«Антивирус Adaware сохраняет файлы конфигурации (и другие файлы) в папку« C: \ ProgramData \ adaware \ adware antivirus ». Антивирусу Adaware нужны эти архив для взаимодействия с ранее загруженными сигнатурами вредоносных программ. «Обычные пользователи не могут удалить эту папку», - сказал Гелберт.

После того, как злоумышленник создаст символическую ссылку «\ INetCookies», указывающую на папку \ \ antaware antivirus, и запустит wsreset, архив внутри папки теперь удаляются без проблем.

Конечно, некоторые файлы (которые использовались антивирусной программой) могут оставаться в папка даже после запуска wsreset, но это не проблема. Весь процесс достаточно, чтобы уничтожить ее функция антивируса.

После перезапуска антивируса он будет отключен навсегда. Это потому, что настройки и другие ключевые файлы были очищены системой. И антивирус не смог его обнаружить или предотвратить.

Эта уязвимость, связанная с масштабированием привилегий в утилите wsreset.exe, может быть использована для других целитакой как обход UAC, как продемонстрировал Хашим Джавад в 2019 году.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Черная пятница: киберпреступники следят за вашими покупками

Из-за условий, возникших в результате пандемии COVID-19, в Черную пятницу и ...

Фертильность в США: атака программ-вымогателей на крупнейшую сеть фертильности в США!

US Fertility, крупнейшая сеть фертильности в США, объявила, что некоторые из ее систем были зашифрованы в результате атаки вымогателя, которая ...

Фишинговая атака прикидывается приглашением на встречу Zoom

Со вчерашнего дня идет массовая фишинговая атака, которая претендует на приглашение на встречу в Zoom.

Янис Варуфакис: Amazon требует бойкота в Черную пятницу

Бывший министр финансов Греции и лидер политической партии «МЕРА 25» Яннис Варуфакис требует бойкота Amazon в день Блэка ...

Личные данные пациентов с COVID-19 просочились в интернет

Персональные данные и данные о здоровье примерно 16 миллионов бразильских пациентов с COVID-19 были опубликованы в Интернете, когда сотрудник больницы загрузил на GitHub ...

Американская компания Rand McNally подверглась атаке кибернетического

Технологическая компания из Чикаго Rand McNally работает над восстановлением функциональности своей сети после ...

Северокорейские хакеры попытались вмешаться в испытания вакцины

По словам властей, южнокорейская разведка предотвратила попытки хакеров из Северной Кореи остановить разработку тестов ...

Великобритания: утечка данных с платформы электронной коммерции

Департамент уголовных расследований (CID) в сотрудничестве с прокуратурой Англии по расследованию киберпреступлений проводит расследования для выявления злонамеренного агента, ...

Россия: запретит ли она сайты социальных сетей, которые цензурируют российские информационные агентства?

Россия планирует принять новый закон, запрещающий иностранные сайты социальных сетей в стране. Это происходит после ...

Программа-вымогатель Egregor: следовать по стопам Maze становится все опаснее

Эксперты по безопасности предупреждают, что новая группа программ-вымогателей быстро наращивает свою угрожающую активность, проводя атаки двойного шантажа на многочисленных жертв ...