Este fórum foi descontinuado. LEIA AQUI e participe da Comunidade BABOO :)

A área de Remoção de Malwares está aberta na Comunidade BABOO. LEIA AQUI

Ir para conteúdo
Baboo

Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10

Mensagem Recomendada

O pesquisador de segurança Soya Aoyama demonstrou um método onde ele conseguiu burlar o recurso Acesso a Pastas Controladas do Windows 10 usando a técnica conhecida como “injeção de DLL”.

Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10

Para quem não sabe, o Acesso a Pastas Controladas ajuda o usuário a proteger seus arquivos contra alterações não autorizadas – útil principalmente caso o PC seja infectado por um ransomware:

Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10

Quando este recurso é habilitado, apenas os aplicativos definidos por padrão pela Microsoft e os definidos pelo usuário podem fazer alterações nos arquivos. Um dos aplicativos definidos por padrão pela Microsoft é o Explorador de Arquivos (explorer.exe).

Em uma apresentação durante a conferência de segurança DerbyCon, o pesquisador da Fujitsu System Integration Laboratories Ltd. conseguiu descobrir uma forma de injetar um arquivo DLL malicioso no explorer.exe quando ele é executado.

Como o explorer.exe é um dos aplicativos permitidos por padrão pelo recurso Acesso a Pastas Controladas do Windows 10, quando o arquivo DLL é injetado é possível burlar este recurso.

Para isso, Aoyama tirou proveito da forma como os arquivos DLL são carregados quando o explorer.exe é iniciado. Basicamente o explorer.exe carrega as DLLs registradas sob a chave HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers mostrada abaixo:

Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10

A árvore HKEY_CLASSES_ROOT mescla informações do Registro encontradas nas outras árvores HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER, com o Windows dando precedência aos dados na árvore KEY_CURRENT_USER.

Isto significa que se uma chave existe na árvore KEY_CURRENT_USER, ela terá precedência sobre a mesma chave existente na árvore HKEY_LOCAL_MACHINE e os dados serão mesclados na árvore HKEY_CLASSES_ROOT. Isto soa complicado, mas mais detalhes estão disponíveis na documentação da Microsoft publicada aqui.

Por padrão, quando o explorer.exe é iniciado ele carrega o arquivo Shell.dll registrado na chave HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32.

Para carregar o arquivo DLL malicioso no explorer.exe, Aoyama só precisou criar a chave HKEY_CURRENT_USER\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 e definir o arquivo DLL malicioso como seu valor padrão.

Agora quando o explorer.exe é encerrado e iniciado novamente, o arquivo DLL malicioso será carregado no lugar do Shell.dll. Você pode ver um exemplo com o arquivo DLL malicioso injetado no explorer.exe na imagem abaixo:

Ctrl Acss 02

Além de burlar o recurso Acesso a Pastas Controladas do Windows 10, o arquivo DLL malicioso também não foi detectado pelo antivírus Windows Defender.

Em outros testes, Aoyama confirmou que o arquivo DLL malicioso não foi detectado por antivírus da Avast, ESET, McAfee e nem pela versão Premium do Malwarebytes – o detalhe é que todos possuem proteções contra ransomware.

Vídeo com a demonstração do pesquisador Soya Aoyama:

Aoyama notificou o Microsoft Security Response Center (MSRC) sobre sua descoberta e incluiu o código prova-de-conceito que poderia ser usado para burlar o recurso Acesso a Pastas Controladas do Windows 10:

Ctrl Acss 03

O post Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10 apareceu primeiro em BABOO.

Ler artigo completo


[]s
 
Aurélio “Baboo”

assinatura-comunidade-baboo-mvp.png

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.

×
×
  • Criar Novo...