Goodnews.ua


Windows 10 можно поломать с помощью ее собственного магазина приложений

Июль 24
02:01 2020

Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.

Куда ведёт ссылка

Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.

Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.

Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создаёт файлы cookie и кэша в следующих папках:

— %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
— %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies

Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.

Создать-удалить

Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь INetCookies на любую другую папку. В результате при запуске wsreset всё её содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.

Перед этим злоумышленнику понадобится удалить исходный каталог INetCookies. Это может сделать любой пользователь — или вредоносная программа — даже с ограниченными привилегиями.

Затем создаётся «ссылка» — например, с помощью утилиты mklink.exe с параметром /J или команды powershell «new-item» с параметром -ItemType.

В своих примерах Геберт «перенаправлял» путь INetCookies на папку C:WindowsSystem32driversetc, тем самым «натравливая» утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).

«По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset — по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы».

Как отмечает в своем материале Bleeping Computer, ещё в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) — продемонстрировал возможность использования wsreset для обхода системы контроля учётных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.

Источник: cnews.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

НБУ прогнозирует дальнейший рост инфляции

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua