聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
一名安全研究人员找到了绕过 Windows 10 在2017年10月增加的“文件夹访问控制 (Controlled Folder Access, CFA)”功能。微软当时称该功能是一个可靠的反勒索软件防护措施。
“文件夹访问控制”功能是内置到所有 Windows 10 版本中的 Windows Defender 的一部分。
更新到 Windows 10 “秋季创作者更新”版本的用户接收到“文件夹访问控制”的 Windows Defender 更新,能让用户拦截从用户指定目录中找到的任何修改。
用户必须手动允许编辑位于“文件夹访问控制”文件夹中的文件的 app,方法是通过“允许 app 通过文件夹访问控制”选项将每款 app 的可执行文件添加到白名单中。
SecurityByDefault公司的西班牙安全研究员 Yago Jesus 发现,微软自动将这个列表中的所有 Office app 白名单化,也就是说这些 Office app 能够修改位于“文件夹访问控制”文件夹中的文件,不管用户是否愿意。
Jesus 表示,勒索软件开发人员能通过增加简单脚本经由 Office 文件中的 OLE 对象绕过“文件夹访问控制”功能。
Jesus 在研究报告中通过三个案例说明使用恶意 Office 文档(通过垃圾邮件收到的文档)覆写其它存储在“文件夹访问控制”文件夹中的其它 Office 文档内容;通过密码保护这些文件;或把内容复制粘贴到位于“文件夹访问控制”文件夹之外的文件中、对内容进行加密并删除原始内容。
虽然第一个案例的破坏力很强,但后两个案例的运作方式和真实的勒索攻击并无差别,受害者必须支付勒索金获得密码/解码代码来解锁文件夹。
Jesus 指出,他将自己发现的问题告知了微软,但表示微软并不认为该问题是个安全漏洞问题,然而表示会在未来版本中改进“文件夹访问控制”功能以解决所述的绕过方法。
Jesus 表示,“这说明微软会修复这个应该被归为‘缓解 (Mitigation)’绕过的漏洞问题,但却不承认这一点。”也就是说 Jesus 无法因发现这个问题而获得致谢或漏洞奖励。
关联阅读
受WCry感染的Windows XP电脑无需交勒索金即可解密
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/researcher-bypasses-windows-controlled-folder-access-anti-ransomware-protection/