Инъекция DLL в Проводник

Японский исследователь безопасности из Fujitsu Соя Аояма (Soya Aoyama) обнаружил уязвимость в Windows 10, которая позволяет обойти встроенную в систему защиту от троянов-вымогателей Controlled folder access (CFA, контролируемый доступ к папкам) путем осуществления инъекции вредоносной динамической библиотеки (DLL) в доверенное приложение Проводник.

Функция Controlled folder access, впервые появившаяся в Windows 10, позволяет предотвращать изменение файлов неизвестными программами в защищенных папках благодаря созданию белого списка приложений, которым разрешено модифицировать определенные папки и файлы в них. Таким образом, остальные приложения, оказавшиеся вне списка доверенных, лишаются прав на изменение защищенных файлов.

По умолчанию в белом списке находятся некоторые программы Microsoft, в том числе и Проводник, представленный в файловой системе в виде исполняемого файла explorer.exe. Зная это и то, что при запуске explorer.exe всегда загружает библиотеки, перечисленные в разделе HKEY_CLASSES_ROOT*shellexContextMenuHandlers системного реестра Windows, Аояма без труда смог внедрить вредоносную библиотеку в систему.

Для внедрения вредоносной библиотеки необходимо отредактировать системный реестр Windows

Структура HKEY_CLASSES_ROOT представляет собой результат слияния данных, обнаруженных системой в разделах HKEY_LOCAL_MACHINE (настройки, распространяющиеся на всех пользователей данной системы) и HKEY_CURRENT_USER (распространяющиеся только на ее текущего пользователя). При выполнении слияния данные из HKEY_CURRENT_USER имеют приоритет. Таким образом, достаточно добавить ссылку на вредоносную библиотеку в раздел реестра для текущего пользователя, чтобы она подгружалась всякий раз при запуске Проводника.

Специалист также отметил, что Windows Defender (Защитник Windows), встроенный в операционную систему, и антивирусы никак не отреагировали на произведенные им манипуляции. Потенциальную угрозу полностью проигнорировали антивирусы со встроенной защитой от вирусов-вымогателей, такие как Avast, Eset, Malwarebytes Premium и McAfee.

Реакция Microsoft

Прежде чем рассказать об обнаруженной уязвимости широкой публике, Аояма отправил информацию об ней в центр безопасности Microsoft. Однако сотрудники компании не сочли работоспособность описанного метода обхода встроенных в ОС механизмов защиты проблемой, требующей решения.

Специалисту объяснили, что для осуществления атаки у злоумышленника должен быть локальный доступ к компьютеру жертвы. Также предложенный метод не позволяет затронуть других пользователей, кроме того, к чьей машине доступ уже получен. Наконец, способ не позволяет атакующему повысить собственные привилегии в системе, поскольку он пользуется тем же уровнем прав, что и цель атаки.

Тем не менее, как отметил Аояма, программам-вымогателям вовсе и не нужны особые права, чтобы зашифровать файлы пользователя, а затем потребовать выкупа за их восстановление. Да, они могут понадобиться для удаления теневых копий, чтобы пользователь не смог восстановить исходный вид файловой системы до заражения вымогателем, но потенциальный злоумышленник может воспользоваться другим методом или эксплоитом для достижения своей цели.