По словам исследователя безопасности, функция контролированного доступа не защищает систему от вымогательского ПО.
Испанский исследователь безопасности Яго Хесус (Yago Jesus) обнаружил способ обхода функции контролированного доступа к папкам (Controlled Folder Access, CFA), являющейся частью Windows Defender. Функция была добавлена в Windows 10 в октябре 2017 года и позиционируется Microsoft как надежная защита от вымогательского ПО.
Контролированный доступ к папкам блокирует любые изменения файлов в обозначенных пользователем директориях. Пользователи сами вручную должны утвердить приложения, которым разрешено вносить изменения в папках, защищенных CFA. Для этого они должны внести исполняемые файлы каждого приложения в белый список, управляемый с помощью опции «Разрешить работу приложения через контролируемый доступ к файлам».
Хесус обнаружил, что Microsoft по умолчанию внесла в белый список все приложения Office. По словам исследователя, злоумышленники могут с легкостью обойти CFA, добавив в файлы Office простые скрипты через объекты OLE. Исследователь представил три примера обхода CFA с помощью модифицированных документов Office. В первом случае ему удалось переписать содержимое других документов Office, хранящихся в папке CFA, во втором – защитить эти файлы паролем и в третьем – скопировать содержимое файлов в файлы за пределами папки CFA и удалить оригиналы.
Если первый пример позволяет только испортить файлы, то вторые два работают по принципу самого настоящего вымогательского ПО. Хесус сообщил Microsoft о проблеме, и вскоре получил от компании ответ. Согласно письму, проблема не является уязвимостью, однако производитель намерен улучшить безопасность CFA в будущих релизах с учетом полученных от Хесуса сведений.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках