Встроенную в Windows 10 защиту от программ-вымогателей можно обойти при помощи DLL-инъекции. К такому выводу пришел японский специалист Сойа Аойама (Soya Aoyama), поделившийся результатами своего исследования со слушателями ИБ-конференции DerbyCon.

Эксперт уведомил Microsoft о найденной бреши, однако разработчики ОС оценили уязвимость как незначительную.

Для борьбы с шифровальщиками в Windows 10 используется функция (Контролируемый доступ к папкам), которая позволяет управлять разрешениями на изменение и чтение файлов. Изменять содержимое защищенных каталогов могут только приложения, отмеченные производителем или пользователем как надежные. По умолчанию в этот список включены системные программы, такие как Проводник или Защитник Windows.

Аойама выяснил, что злоумышленник с правами текущего пользователя может заменить одну из легитимных библиотек, используемую утилитами Windows, на вредоносный DLL-объект. Инфицированная таким образом программа будет обладать всеми правами надежного приложения и сможет шифровать файлы в папке, защищенной Controlled Folder Access.

Как пояснил специалист, при старте Проводник загружает необходимые библиотеки из реестра по адресу HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers, который, в свою очередь, образуется от слияния двух других — системного HKEY_LOCAL_MACHINE и пользовательского HKEY_CURRENT_USER. Последний имеет преимущество при объединении — его DLL-файлы заменяют аналогичные объекты в случае совпадения имен.

В отличие от системных реестров, пользовательский раздел HKEY_CURRENT_USER не требует прав администратора для внесения изменений. Поместив в него модифицированную библиотеку и перезапустив Проводник, японский эксперт сумел предоставить вредоносному скрипту доступ к защищенной папке. Более того, инъекцию не заметил штатный антивирус Windows 10, а также несколько ИБ-продуктов, оснащенных модулями для блокировки вымогателей.

Аналитик сообщил о находке в Microsoft, однако производитель не нашел повода для выпуска патча, устраняющего брешь.

«Атака основывается на том, что злоумышленник уже имеет доступ к целевой учетной записи. Поскольку нападающий может вносить изменения только в реестр HKEY_CURRENT_USER, он не способен воздействовать на других пользователей системы. Возможность повышения привилегий также отсутствует», — ответили представители разработчика специалисту.

Несмотря на усиление контура безопасности в Windows 10, исследователи продолжают находить бреши в защите флагманской операционной системы Microsoft. Ранее стало известно, что в файлы формата *.SettingContent-ms, предназначенные для изменения служебных параметров, можно внедрить сторонний скрипт, запускающий вредоносную нагрузку. Расширение не включено в список потенциально опасных процессов, а значит, такие объекты могут быть использованы даже для атаки на компьютеры с максимальными настройками безопасности.