Windows Defender勒索软件防御措施失效 受控文件夹访问CFA绕过方法

2017年10月在Windows 10秋季创意者更新中添加了“受控文件夹访问CFA”功能,主要是为了防御勒索软件攻击,成为Windows10中内置的Windows Defender防病毒软件的一部分。但是有研究员发现了CFA绕过方法。

Windows Defender更新功能受控文件夹访问(CFA)

更新到Windows10 Fall Creators Update秋季创意者更新)的用户收到了名为受控文件夹访问(CFA)的Windows Defender更新,允许他们阻止对用户指定目录中找到的文件进行任何修改。

用户必须手动批准,才能允许APP编辑位于CFA文件夹中的文件,方法是将每个应用程序的可执行文件添加到通过“允许通过受控文件夹访问应用程序”选项管理的白名单中。

但是,SecurityByDefault的西班牙安全研究员Yago Jesus发现,微软已经将列表中的所有Office应用自动列入白名单。这意味着无论用户是否喜欢,Office应用程序都可以修改位于CFA文件夹中的文件,

勒索软件可以利用Office OLE对象绕过CFA

Jesus说,勒索软件开发人员可以通过添加简单的脚本,利用Office文件中的OLE对象,进而轻松绕过微软CFA反勒索软件功能。

周末发表的研究报告中,Jesus列举了三个精心构造的Office文件(通过垃圾邮件接收)覆盖存储在CFA文件夹内的其他Office文件内容的例子; 密码保护相同的文件; 或将其内容复制粘贴到位于CFA文件夹之外的文件中,对其进行加密,然后删除原件。

http://www.securitybydefault.com/2018/01/microsoft-anti-ransomware-bypass-not.html

虽然第一个例子只是破坏性的,但最后两个在实际的勒索行为中是有效的,受害者不得不向勒索软件作者支付解锁文件的密码/解密代码。

绕过问题的作者对微软的反馈不满

Jesus说,他通知了微软他发现的问题。但从微软收到的电子邮件截图中可以看到,操作系统制造商微软并没有将这个问题归类为安全漏洞,而是表示将在未来版本中改进CFA来解决报道的安全绕过问题。而就这个问题,没有给予他任何的奖金。

“这意味着微软认可并将修复这个漏洞,但目前它被归类为缓解措施绕过问题,却不承认这是个漏洞”。

(小编,2017年9月微软也又一次拒绝承认,视频 | 幻觉间隙Windows Defender绕过技术 微软拒不承认 已有poc

图片来源:Yago

发表评论