Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Windows 10 можно поломать с помощью ее собственного магазина приложений
22.07.2020, Ср, 09:18, Мск , Текст: Роман Георгиев
Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.
Куда ведёт ссылка
Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.
Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.
Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создаёт файлы cookie и кэша в следующих папках:
- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCache
- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies
Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.
Создать-удалить
Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь \INetCookies на любую другую папку. В результате при запуске wsreset всё её содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.
Инструмент Windows Store может удалять любые файлы в произвольных папках, включая драйверы и антивирусные сигнатуры
Перед этим злоумышленнику понадобится удалить исходный каталог \INetCookies. Это может сделать любой пользователь - или вредоносная программа - даже с ограниченными привилегиями.
Затем создаётся «ссылка» - например, с помощью утилиты mklink.exe с параметром /J или команды powershell «new-item» с параметром -ItemType.
В своих примерах Геберт «перенаправлял» путь \INetCookies на папку C:\Windows\System32\drivers\etc, тем самым «натравливая» утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).
«По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, - считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset - по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы».
Как отмечает в своем материале Bleeping Computer, ещё в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) - продемонстрировал возможность использования wsreset для обхода системы контроля учётных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
22.07.2020, Ср, 09:18, Мск , Текст: Роман Георгиев
Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.
Куда ведёт ссылка
Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.
Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.
Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создаёт файлы cookie и кэша в следующих папках:
- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCache
- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies
Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.
Создать-удалить
Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь \INetCookies на любую другую папку. В результате при запуске wsreset всё её содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.
Инструмент Windows Store может удалять любые файлы в произвольных папках, включая драйверы и антивирусные сигнатуры
Перед этим злоумышленнику понадобится удалить исходный каталог \INetCookies. Это может сделать любой пользователь - или вредоносная программа - даже с ограниченными привилегиями.
Затем создаётся «ссылка» - например, с помощью утилиты mklink.exe с параметром /J или команды powershell «new-item» с параметром -ItemType.
В своих примерах Геберт «перенаправлял» путь \INetCookies на папку C:\Windows\System32\drivers\etc, тем самым «натравливая» утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).
«По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, - считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset - по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы».
Как отмечает в своем материале Bleeping Computer, ещё в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) - продемонстрировал возможность использования wsreset для обхода системы контроля учётных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links