Написать пост

Обнаружен метод обхода защиты от шифровальщиков в Windows 10

Аватар Семён Алексин

Ошибка в сервисе Controlled Folder Access защитника Windows позволяет программе изменять файлы, защищенные от шифровальщиков.

Функция Controlled Folder Access («Контролируемый доступ к папкам») появилась в Windows Defender в обновлении Windows 10 Fall Creators Update. Основная задача этой функции — ограничить доступ программ к директориям для защиты от атак вирусов-шифровальщиков. Пользователь может добавить в список директории, которые необходимо защитить. Также есть возможность составить белый список программ, которым разрешен доступ ко всем директориям.

Уязвимость

Специалист компании SecurityByDefault обнаружил, что программы Microsoft Office по умолчанию включены в белый список, и с помощью обычных OLE-объектов можно «обмануть» защитника. Исследователь написал эксплоит, с которым удалось изменить, переместить, удалить и даже зашифровать файлы, защищенные функцией Controlled Folder Access. Уязвимыми оказались все файлы, созданные с помощью Microsoft Office, а также изображения и PDF-документы.

Реакция Microsoft

Исследователь отправил в Microsoft отчет о найденной уязвимости. Сотрудники компании ответили:

Мы не классифицируем это как уязвимость, поскольку компонент Defender Exploit Guard не обеспечивает безопасность в полной мере; это инструмент, добавляющий функциональность для дополнительной защиты папок. Вместо этого мы подумаем над улучшением функциональности Controlled Folder Access.
Следите за новыми постами
Следите за новыми постами по любимым темам
654 открытий654 показов