Windows 10 можно поломать с помощью ее собственного магазина приложений

24.07.2020
38
0
0.0
Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.

Куда ведёт ссылка

Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.

Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.

Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создаёт файлы cookie и кэша в следующих папках:

- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCache
- %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies

Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.

Создать-удалить

Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь \INetCookies на любую другую папку. В результате при запуске wsreset всё её содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.

Перед этим злоумышленнику понадобится удалить исходный каталог \INetCookies. Это может сделать любой пользователь - или вредоносная программа - даже с ограниченными привилегиями.

Затем создаётся «ссылка» - например, с помощью утилиты mklink.exe с параметром /J или команды powershell «new-item» с параметром -ItemType.

В своих примерах Геберт «перенаправлял» путь \INetCookies на папку C:\Windows\System32\drivers\etc, тем самым «натравливая» утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).

«По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, - считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset - по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы».


Как отмечает в своем материале Bleeping Computer, ещё в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) - продемонстрировал возможность использования wsreset для обхода системы контроля учётных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.



Комментарии (0)
avatar