ransomware
20

Windows vs ransomware: 0:1. Microsoft przegrał tę bitwę

Microsoft wcześniej bardzo chętnie odnosił się w swoich tekstach oraz innych materiałach marketingowych do tego, że Windows 10 jest systemem bardziej odpornym na ataki ze strony ransomware. Istotnie, zaktualizowany Windows Defender dostępny w najnowszej odsłonie "okienek" był w stanie radzić sobie nawet z nieznanymi złośliwymi programami tego typu.

Nie wszystko jednak poszło zgodnie z planem. O ile wcześniej bardzo pochlebnie wypowiadano się na temat wprowadzonego do Windows 10 mechanizmu, tak ostatnio jednak obnażono jego słabości. „Controlled Folder Access” miał być odpowiedzią na rosnącą popularność ransomware, które: szyfrują dane oraz żądają za ich odblokowanie okupu. Oczywiście, z hakerami – podobnie jak i z terrorystami raczej się nie dyskutuje oraz nie prowadzi się z nimi negocjacji. Bardzo złym pomysłem jest więc opłacanie okupu – na przykład NotPetya okazał się być najzwyklejszym w świecie wiperem, bowiem udowodniono, że celem cyberprzestępców wcale nie był zarobek sam w sobie, lecz skasowanie danych na zarażonych komputerach oraz paraliż infrastruktur.

Controlled Folder Access w Windows 10 złamany. Czyli jednak da się zaszyfrować dane

Dotychczas uważano Controlled Folder Access za mechanizm bardzo udany pod kątem prewencji skutków zarażenia ransomware. CFA powoduje, że obcy program – taki, który nie znajduje się na białej liście (zaufanych aplikacji) nie będzie w stanie dokonać zmian w folderach oraz plikach w nich zawartych.

Szybko jednak wychwycono, że proces explorer.exe (eksplorator Windows) jest domyślnie zawarty w liście zaufanych programów – udało się na podstawie tej wiedzy zastosować atak polegający na wstrzyknięciu do niego złośliwego pliku DLL. Wszystkie operacje, które można wtedy wykonać będą rozpoznawane jako te, które zostały zainicjowane przez program znajdujący się na wspomnianej białej liście.

Badaczowi udało się więc uzyskać sytuację, w której dokonuje udanego wstrzyknięcia złośliwego pliku DLL zawierającego m. in. niebezpieczne instrukcje oraz uniknięcia detekcji przez pakiet Windows Defender. Wykorzystanie tej podatności mogło być więc źródłem nieznanych wcześniej, nieoczekiwanych infekcji. Podobnie zachowały się programy bezpieczeństwa innych producentów: m. in. Avast oraz ESET kompletnie nie rozpoznały tego zagrożenia.

Co bardzo ciekawe – Microsoft nie widzi w tym żadnego problemu

To odrobinę dziwna sytuacja: luka jest raczej poważna i wymaga zdecydowanego działania. Jednak jej odkrywca nie może liczyć chociażby na nagrodę w programie bug bounty. Otóż, Microsoft postanowił zbagatelizować wagę odkrycia głównie dlatego, że atakujący – według giganta – potrzebuje danych logowania konkretnego użytkownika, aby wstrzyknąć złośliwy plik DLL. To spora przeszkoda – ale załóżmy, że cyberprzestępca dysponuje odpowiednim exploitem – co wtedy? Czy nie lepiej jest dokonywać uszczelnień „na zaś”?

Tego dowiemy się najprawdopodobniej wkrótce – Microsoft może, ale wcale nie musi łatać tej luki. Niemniej, dużo lepiej byłoby dla wszystkich użytkowników, gdyby jednak zdecydował się na uaktualnienie, w którym zabezpiecza system Windows 10 przed ominięciem CFA za pomocą złośliwego pliku DLL wstrzykiwanego w eksploratora.

Czym są ransomware? Dlaczego warto na nie uważać? Sprawdź na Antyweb!