Обнаружен метод обхода функции контролированного доступа к папкам в Windows 10

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
По словам исследователя безопасности, функция контролированного доступа не защищает систему от вымогательского ПО.

1974c29e6101192b64ec6de5834d818e.png

Испанский исследователь безопасности Яго Хесус (Yago Jesus) обнаружил способ обхода функции контролированного доступа к папкам (Controlled Folder Access, CFA), являющейся частью Windows Defender. Функция была добавлена в Windows 10 в октябре 2017 года и позиционируется Microsoft как надежная защита от вымогательского ПО.

Контролированный доступ к папкам блокирует любые изменения файлов в обозначенных пользователем директориях. Пользователи сами вручную должны утвердить приложения, которым разрешено вносить изменения в папках, защищенных CFA. Для этого они должны внести исполняемые файлы каждого приложения в белый список, управляемый с помощью опции «Разрешить работу приложения через контролируемый доступ к файлам».

Хесус обнаружил, что Microsoft по умолчанию внесла в белый список все приложения Office. По словам исследователя, злоумышленники могут с легкостью обойти CFA, добавив в файлы Office простые скрипты через объекты OLE. Исследователь представил три примера обхода CFA с помощью модифицированных документов Office. В первом случае ему удалось переписать содержимое других документов Office, хранящихся в папке CFA, во втором – защитить эти файлы паролем и в третьем – скопировать содержимое файлов в файлы за пределами папки CFA и удалить оригиналы.

Если первый пример позволяет только испортить файлы, то вторые два работают по принципу самого настоящего вымогательского ПО. Хесус сообщил Microsoft о проблеме, и вскоре получил от компании ответ. Согласно письму, проблема не является уязвимостью, однако производитель намерен улучшить безопасность CFA в будущих релизах с учетом полученных от Хесуса сведений.
 
Сверху Снизу