WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi trên Windows 10 Store cho phép kẻ tấn công vượt qua phần mềm diệt virus
Một kỹ thuật khai thác Windows 10 Microsoft Store có tên 'wsreset.exe' có thể cho phép vượt qua phần mềm diệt virus trên máy chủ mà không bị phát hiện.
Wsreset.exe là một công cụ xử lý sự cố hợp pháp cho phép người dùng chẩn đoán sự cố với Windows Store và đặt lại bộ nhớ đệm của nó.
Nhà nghiên cứu Daniel Gebert đã phát hiện wsreset.exe có thể bị lạm dụng để xóa các tệp tùy ý.
Vì wsreset.exe chạy với đặc quyền nâng cao để xử lý các cài đặt Windows, lỗi này sẽ cho phép kẻ tấn công xóa các tệp ngay cả khi không có đặc quyền.
Xóa tập tin bằng wsreset.exe
Khi tạo tệp bộ nhớ cache và cookie tạm thời, Windows Store lưu trữ các tệp này trong các thư mục sau:
%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\InetCache
%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\InetCookies
Sau khi phân tích tiện ích wsreset, Gebert nhận thấy công cụ này sẽ xóa các tệp có trong các thư mục này, từ đó "đặt lại" bộ nhớ đệm cache và cookie cho ứng dụng Windows Store.
Kỹ thuật khai thác được đề cập ở đây dựa trên một khái niệm đơn giản về các “mối nối thư mục” tương tự nhưng là một phiên bản giới hạn của các liên kết tượng trưng (symlink).
Nếu kẻ tấn công có thể tạo một liên kết trỏ đường dẫn \InetCookies này đến thư mục đích theo lựa chọn của kẻ tấn công, thư mục đích sẽ bị xóa khi wsreset khởi chạy. Điều này là do wsreset chạy với các đặc quyền tự động leo thang theo mặc định.
Để bắt đầu, kẻ tấn công trước tiên xóa thư mục \INetCookies (nếu không thì tiện ích wsreset cũng sẽ xóa). Người dùng có đặc quyền hạn chế có thể xóa thư mục, do đó đây không phải là một thách thức – hoặc kẻ tấn công có quyền kiểm soát tài khoản người dùng hoặc tập lệnh độc hại chạy trong tài khoản người dùng bị xâm nhập có thể thực hiện việc này.
Thư mục INetCookies với một người dùng tiêu chuẩn có đầy đủ đặc quyền
Sau đó, kẻ tấn công tạo một "liên kết" hoặc mối nối thư mục, làm cho vị trí \INetCookies trỏ đến một vị trí đặc quyền mà kẻ tấn công muốn wsreset.exe xóa.
Trong ví dụ hiển thị bên dưới, kẻ tấn công đang ánh xạ thư mục \INetCookies đến vị trí "C:\Windows\System32\driver\etc". Các thư mục \etc chứa các tệp cài đặt và cấu hình quan trọng, bao gồm tệp "máy chủ" để cấu hình quy tắc DNS cục bộ.
"Điều này có thể được thực hiện bằng cách sử dụng mklink.exe với tham số '/J' hoặc thông qua lệnh new-item powershell với tham số '-ItemType.'", Gelbert giải thích trong bài viết trên blog.
Giờ khi "wsreset" được khởi chạy bởi kẻ tấn công hoặc tập lệnh của chúng, thư mục "\etc" mà yêu cầu các đặc quyền nâng cao sẽ bị xóa.
Lạm dụng wsreset để vượt qua phần mềm diệt virus
Nhà nghiên cứu đã chứng minh làm thế nào hành vi này có thể bị lạm dụng để vượt qua tính năng diệt virus, lấy ví dụ với Ad-Aware.
"Phần mềm diệt virus Ad-Aware lưu trữ các tệp cấu hình (và hơn thế nữa) trong thư mục 'C:\ProgramData\adaware\adaware antivirus'. Ad-Aware cần các tệp này để tương tác với chữ ký/định nghĩa phần mềm độc hại được tải xuống trước đó. Người dùng thông thường có thể xóa thư mục này".
Khi kẻ tấn công tạo liên kết tượng trưng "\INetCookies" để trỏ đến thư mục "\adaware antivirus" và chạy wsreset, các tệp trong thư mục sẽ bị xóa một loạt.
Một số tệp (được sử dụng bởi phần mềm diệt virus) có thể vẫn còn trong thư mục ngay cả sau khi wsreset khởi chạy, đó không phải là vấn đề. Quá trình tổng thể là đủ để thoát khỏi tầm kiểm soát của phần mềm diệt virus.
Sau khi phần mềm diệt virus khởi chạy lại, nó sẽ bị vô hiệu hóa vĩnh viễn. Điều này là do cài đặt, chữ ký/định nghĩa và các tệp cốt lõi khác đã bị xóa khỏi hệ thống. Và phần mềm diệt virus không thể phát hiện hoặc ngăn chặn điều này.
Wsreset.exe là một công cụ xử lý sự cố hợp pháp cho phép người dùng chẩn đoán sự cố với Windows Store và đặt lại bộ nhớ đệm của nó.
Nhà nghiên cứu Daniel Gebert đã phát hiện wsreset.exe có thể bị lạm dụng để xóa các tệp tùy ý.
Vì wsreset.exe chạy với đặc quyền nâng cao để xử lý các cài đặt Windows, lỗi này sẽ cho phép kẻ tấn công xóa các tệp ngay cả khi không có đặc quyền.
Xóa tập tin bằng wsreset.exe
Khi tạo tệp bộ nhớ cache và cookie tạm thời, Windows Store lưu trữ các tệp này trong các thư mục sau:
%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\InetCache
%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\InetCookies
Sau khi phân tích tiện ích wsreset, Gebert nhận thấy công cụ này sẽ xóa các tệp có trong các thư mục này, từ đó "đặt lại" bộ nhớ đệm cache và cookie cho ứng dụng Windows Store.
Kỹ thuật khai thác được đề cập ở đây dựa trên một khái niệm đơn giản về các “mối nối thư mục” tương tự nhưng là một phiên bản giới hạn của các liên kết tượng trưng (symlink).
Nếu kẻ tấn công có thể tạo một liên kết trỏ đường dẫn \InetCookies này đến thư mục đích theo lựa chọn của kẻ tấn công, thư mục đích sẽ bị xóa khi wsreset khởi chạy. Điều này là do wsreset chạy với các đặc quyền tự động leo thang theo mặc định.
Để bắt đầu, kẻ tấn công trước tiên xóa thư mục \INetCookies (nếu không thì tiện ích wsreset cũng sẽ xóa). Người dùng có đặc quyền hạn chế có thể xóa thư mục, do đó đây không phải là một thách thức – hoặc kẻ tấn công có quyền kiểm soát tài khoản người dùng hoặc tập lệnh độc hại chạy trong tài khoản người dùng bị xâm nhập có thể thực hiện việc này.
Thư mục INetCookies với một người dùng tiêu chuẩn có đầy đủ đặc quyền
Sau đó, kẻ tấn công tạo một "liên kết" hoặc mối nối thư mục, làm cho vị trí \INetCookies trỏ đến một vị trí đặc quyền mà kẻ tấn công muốn wsreset.exe xóa.
Trong ví dụ hiển thị bên dưới, kẻ tấn công đang ánh xạ thư mục \INetCookies đến vị trí "C:\Windows\System32\driver\etc". Các thư mục \etc chứa các tệp cài đặt và cấu hình quan trọng, bao gồm tệp "máy chủ" để cấu hình quy tắc DNS cục bộ.
"Điều này có thể được thực hiện bằng cách sử dụng mklink.exe với tham số '/J' hoặc thông qua lệnh new-item powershell với tham số '-ItemType.'", Gelbert giải thích trong bài viết trên blog.
Sử dụng mklink để tạo mối nối thư mục
Giờ khi "wsreset" được khởi chạy bởi kẻ tấn công hoặc tập lệnh của chúng, thư mục "\etc" mà yêu cầu các đặc quyền nâng cao sẽ bị xóa.
Lạm dụng wsreset để vượt qua phần mềm diệt virus
Nhà nghiên cứu đã chứng minh làm thế nào hành vi này có thể bị lạm dụng để vượt qua tính năng diệt virus, lấy ví dụ với Ad-Aware.
"Phần mềm diệt virus Ad-Aware lưu trữ các tệp cấu hình (và hơn thế nữa) trong thư mục 'C:\ProgramData\adaware\adaware antivirus'. Ad-Aware cần các tệp này để tương tác với chữ ký/định nghĩa phần mềm độc hại được tải xuống trước đó. Người dùng thông thường có thể xóa thư mục này".
Thư mục cài đặt Adaware không thể bị xóa bởi tài khoản người dùng tiêu chuẩn
Khi kẻ tấn công tạo liên kết tượng trưng "\INetCookies" để trỏ đến thư mục "\adaware antivirus" và chạy wsreset, các tệp trong thư mục sẽ bị xóa một loạt.
Một số tệp (được sử dụng bởi phần mềm diệt virus) có thể vẫn còn trong thư mục ngay cả sau khi wsreset khởi chạy, đó không phải là vấn đề. Quá trình tổng thể là đủ để thoát khỏi tầm kiểm soát của phần mềm diệt virus.
Sau khi phần mềm diệt virus khởi chạy lại, nó sẽ bị vô hiệu hóa vĩnh viễn. Điều này là do cài đặt, chữ ký/định nghĩa và các tệp cốt lõi khác đã bị xóa khỏi hệ thống. Và phần mềm diệt virus không thể phát hiện hoặc ngăn chặn điều này.
Theo Bleeping Computer