当前位置:安全资讯 >> 全文

Windows 10 “文件访问控制”反勒索功能可被绕过

发布时间:2018-2-7 15:54 标签: Windows 10,CFA,勒索防护,绕过
分享到 0

一名安全研究人员找到了绕过 Windows 10 201710月增加的“文件夹访问控制 (Controlled Folder Access, CFA)”功能。微软当时称该功能是一个可靠的反勒索软件防护措施。

“文件夹访问控制”功能是内置到所有 Windows 10 版本中的 Windows Defender 的一部分。

更新到 Windows 10 “秋季创作者更新”版本的用户接收到“文件夹访问控制”的 Windows Defender 更新,能让用户拦截从用户指定目录中找到的任何修改。

用户必须手动允许编辑位于“文件夹访问控制”文件夹中的文件的 app,方法是通过“允许 app 通过文件夹访问控制”选项将每款 app 的可执行文件添加到白名单中。

 WCFA-Step4.png

SecurityByDefault公司的西班牙安全研究员 Yago Jesus 发现,微软自动将这个列表中的所有 Office app 白名单化,也就是说这些 Office app 能够修改位于“文件夹访问控制”文件夹中的文件,不管用户是否愿意。

勒索软件可通过 Office OLE 对象绕过 CFA

Jesus 表示,勒索软件开发人员能通过增加简单脚本经由 Office 文件中的 OLE 对象绕过“文件夹访问控制”功能。

Jesus 研究报告中通过三个案例说明使用恶意 Office 文档(通过垃圾邮件收到的文档)覆写其它存储在“文件夹访问控制”文件夹中的其它 Office 文档内容;通过密码保护这些文件;或把内容复制粘贴到位于“文件夹访问控制”文件夹之外的文件中、对内容进行加密并删除原始内容。

虽然第一个案例的破坏力很强,但后两个案例的运作方式和真实的勒索攻击并无差别,受害者必须支付勒索金获得密码/解码代码来解锁文件夹。

微软不认可“安全漏洞”定位但表示会修复

Jesus 指出,他将自己发现的问题告知了微软,但表示微软并不认为该问题是个安全漏洞问题,然而表示会在未来版本中改进“文件夹访问控制”功能以解决所述的绕过方法。

Jesus 表示,“这说明微软会修复这个应该被归为‘缓解 (Mitigation)’绕过的漏洞问题,但却不承认这一点。”也就是说 Jesus 无法因发现这个问题而获得致谢或漏洞奖励。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/researcher-bypasses-windows-controlled-folder-access-anti-ransomware-protection/
参与讨论,请先 登录 | 注册

用户评论