Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
По словам исследователя безопасности, функция контролированного доступа не защищает систему от вымогательского ПО.
Испанский исследователь безопасности Яго Хесус (Yago Jesus)обнаружилспособ обхода функции контролированного доступа к папкам (Controlled Folder Access, CFA), являющейся частью Windows Defender. Функция была добавлена в Windows 10 в октябре 2017 года и позиционируется Microsoft как надежная защита от вымогательского ПО.
Контролированный доступ к папкам блокирует любые изменения файлов в обозначенных пользователем директориях. Пользователи сами вручную должны утвердить приложения, которым разрешено вносить изменения в папках, защищенных CFA. Для этого они должны внести исполняемые файлы каждого приложения в белый список, управляемый с помощью опции «Разрешить работу приложения через контролируемый доступ к файлам».
Хесус обнаружил, что Microsoft по умолчанию внесла в белый список все приложения Office. По словам исследователя, злоумышленники могут с легкостью обойти CFA, добавив в файлы Office простые скрипты через объекты OLE. Исследователь представил три примера обхода CFA с помощью модифицированных документов Office. В первом случае ему удалось переписать содержимое других документов Office, хранящихся в папке CFA, во втором – защитить эти файлы паролем и в третьем – скопировать содержимое файлов в файлы за пределами папки CFA и удалить оригиналы.
Если первый пример позволяет только испортить файлы, то вторые два работают по принципу самого настоящего вымогательского ПО. Хесус сообщил Microsoft о проблеме, и вскоре получил от компании ответ. Согласно письму, проблема не является уязвимостью, однако производитель намерен улучшить безопасность CFA в будущих релизах с учетом полученных от Хесуса сведений.