Дослідник безпеки Деніел Геберт виявив, що легітимний інструмент wsreset.exe для Windows Store може бути використаний зловмисниками для видалення довільних файлів.
Wsreset.exe являє собою інструмент для усунення неполадок, що дозволяє користувачам діагностувати проблеми в Windows Store і скидати його кеш. Оскільки wsreset.exe працює з підвищеними привілеями, взаємодіючи з налаштуваннями Windows, виявлена проблема дозволяє зловмисникам видаляти довільні файли.
Під час створення файлів тимчасового кешу і cookie-файлів Windows Store зберігає їх в двох каталогах (\INetCache і \INetCookies). Проаналізувавши утиліту wsreset, Геберт виявив, що інструмент видаляє файли, присутні в цих папках, тим самим “скидаючи” кеш і cookie-файли для додатка Windows Store. Техніка експлуатації проблеми заснована на простому понятті “з’єднань папок”, які схожі на спрощену версію символічних посилань.
Якщо зловмисник зможе створити посилання, що вказує шлях \InetCookies на цільової каталог, то каталог буде видалений при запуску wsreset. Це пов’язано з тим, що wsreset за замовчуванням працює з автоматично підвищеними привілеями.
Спочатку зловмисник видаляє папку \INetCookies (яку інакше очистила б утиліта wsreset). Потім створює «посилання» або з’єднання папки, в результаті чого місце розташування \INetCookies вказує на привілейоване місце розташування, яке зловмисник має намір видалити за допомогою wsreset.exe.
Дослідник також продемонстрував, як можна за допомогою цього методу обійти антивірусний захист.
“Наприклад, антивірусне ПЗ Adaware зберігає файли конфігурації в папці C:\ProgramData\adaware\adawareantivirus. Антивірусу Adaware потрібні ці файли для взаємодії з сигнатурами/визначеннями шкідливих програм, завантаженими раніше. Звичайні користувачі не можуть видалити цю папку. Якщо зловмисник створить своє символічне посилання \INetCookies, що вказує на папку \adaware antivirus, і запустить wsreset, файли в цій папці будуть видалені”, – заявив Гелберт.
Після перезавантаження системи і перезапуску антивіруса він буде деактивований назавжди. Це пов’язано з тим, що його налаштування, сигнатури і інші основні файли були видалені з системи.
Повний текст дослідження знаходиться ТУТ.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ДІЯТИ ВІЙСЬКОВОСЛУЖБОВЦЯМ У СОЦМЕРЕЖАХ? ПОРАДИ
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Нагадаємо, Apple оголосила на WWDC, що вироблятиме комп’ютери на власних чипах, відмовившись від процесорів Intel, якими компанія користується у своїх ноутбуках та настільних комп’ютерах з 2005 року.
Також Twitter із міркувань безпеки заблокувала всі облікові записи, власники яких намагалися змінити пароль в останні 30 днів. Таким чином соціальна мережа відреагувала на злам сторінок користувачів.
Окрім цього, фахівці з компанії CheckPoint повідомили про виявлені уразливості в Zoom. Уразливість дозволяє зловмисникам видавати себе за легітимні організації, обманюючи їх співробітників або ділових партнерів з метою розкрадання персональної або іншої конфіденційної інформації шляхом соціальної інженерії.
Зверніть увагу, експерти виявили нову шкідливу кампанію з використанням шпигунського програмного забезпечення на Близькому Сході. Інструмент зловмисників — додаток Welcome Chat для Android, який є шпигунським програмним забезпеченням та має функціонал чату.
До речі, у Firefox для Android виявлена проблема, через яку камера смартфона продовжує працювати навіть після того, як користувач перемикає браузер у фоновий режим або блокує екран телефону.