Инструмент для Windows Store позволяет отключить защиту антивирусного ПО

Вт 21 Июль 2020 06:15

Исследователь безопасности Дэниел Геберт (Daniel Gebert) обнаружил , что легитимный инструмент wsreset.exe для Windows Store может быть использован злоумышленниками для удаления произвольных файлов.

Wsreset.exe представляет собой инструмент для устранения неполадок, позволяющий пользователям диагностировать проблемы в Windows Store и сбрасывать его кэш. Поскольку wsreset.exe работает с повышенными привилегиями, взаимодействуя с настройками Windows, обнаруженная проблема позволяет злоумышленникам удалять произвольные файлы.

При создании файлов временного кэша и cookie-файлов Windows Store сохраняет их в двух каталогах (\INetCache и \INetCookies). Проанализировав утилиту wsreset, Геберт обнаружил, что инструмент удаляет файлы, присутствующие в этих папках, тем самым «сбрасывая» кэш и cookie-файлы для приложения Windows Store. Техника эксплуатация проблемы основана на простом понятии «соединений папок», которые похожи на упрощенную версию символических ссылок.

Если злоумышленник сможет создать ссылку, указывающую путь \InetCookies на целевой каталог, то каталог будет удален при запуске wsreset. Это связано с тем, что wsreset по умолчанию работает с автоматически повышенными привилегиями.

Сначала злоумышленник удаляет папку \INetCookies (которую иначе очистила бы утилита wsreset). Затем создает «ссылку» или соединение папки, в результате чего местоположение \INetCookies указывает на привилегированное местоположение, которое злоумышленник намерен удалить с помощью wsreset.exe.

Исследователь также продемонстрировал, как можно с помощью данного метода обойти антивирусную защиту.

«Например, антивирусное ПО Adaware хранит файлы конфигурации в папке «C:\ProgramData\adaware\adaware antivirus». Антивирусу Adaware нужны эти файлы для взаимодействия с сигнатурами/определениями вредоносных программ, загруженными ранее. Обычные пользователи не могут удалить эту папку. Если злоумышленник создаст свою символическую ссылку «\INetCookies», указывающую на папку «\adaware antivirus», и запустит wsreset, файлы в этой папке будут удалены», - заявил Гелберт.

После перезагрузки системы и перезапуска антивируса он будет деактивирован навсегда. Это связано с тем, что его настройки, сигнатуры и другие основные файлы были удалены из системы.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 143 дня 21 час 24 минуты 22 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.