هشدارهای افتایی
مایکروسافت ویژگی جدیدی با نام Controlled Folder Access به ویندوز 10 اضافه کرده است که برای جلوگیری از فعالیت باج‌افزارها است. این ویژگی از ویرایش فایل‌ها توسط برنامه‌های ناشناخته در پوشه‌های محافظت شده جلوگیری می‌کند. در کنفرانس امنیت DerbyCon که هفته گذشته برگزار شد، یک پژوهشگر امنیتی با نام Aoyama، نحوه تزریق DLL برای دور زدن قابلیت Controlled Folder Access را تشریح کرد.
ویژگی Controlled Folder Access تنها به برنامه‌هایی اجازه ویرایش فایل‌ها را می‌دهد که در لیستی با نام لیست سفید یا Whitelist قرار داشته باشند. برنامه‌های این لیست یا توسط خود کاربر تعیین می‌شوند یا برنامه‌هایی هستند که مایکروسافت آنها را بطور پیش‌فرض قرار می‌دهد.
با توجه به اینکه برنامه explorer.exe در لیست سفید قرار دارد، این پژوهشگر امنیتی راهی را برای تزریق DLL مخرب در Explorer کشف کرده است. از این رو با این روش می‌توان ویژگی محافظت در برابر باج‌افزار را دور زد.
متاسفانه، علاوه بر این که با این روش می‌توان ویژگی Controlled Folder Access را دور زد، Windows Defender نیز نمی‌تواند آن‌را شناسایی کند. همچنین، با توجه به آزمایش‌های این پژوهشگر، Avast، ESET، Malwarebytes Premium و McAfee نیز آن‌را شناسایی نمی‌کنند.
Ayoama اعلام کرده است که قبل از تشریح این موضوع در کنفرانس، این آسیب‌پذیری را به مرکز پاسخگویی امنیت مایکروسافت (MSRC) گزارش کرده است و کد اثبات مفهومی آن‌را نیز ارائه کرده است. اما مایکروسافت در پاسخ گفته است که با توجه به اینکه از این روش تنها زمانی می‌توان بهره برد که مهاجم در سیستم قربانی وارد شده باشد، در نتیجه سایر کاربران در خطر نیستند. از این رو نیازمند وصله نیستند. با این حال، یک باج‌افزار برای رمزگذاری رایانه یک قربانی، نیازی به افزایش دسترسی ندارد.
روش کشف شده می‌تواند بدون وجود دسترسی‌های مدیریت سیستم، ویژگی Controlled Folder Access را دور بزند.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.