O pesquisador de segurança Soya Aoyama demonstrou um método onde ele conseguiu burlar o recurso Acesso a Pastas Controladas do Windows 10 usando a técnica conhecida como “injeção de DLL”.
Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10
Para quem não sabe, o Acesso a Pastas Controladas ajuda o usuário a proteger seus arquivos contra alterações não autorizadas – útil principalmente caso o PC seja infectado por um ransomware:
Quando este recurso é habilitado, apenas os aplicativos definidos por padrão pela Microsoft e os definidos pelo usuário podem fazer alterações nos arquivos. Um dos aplicativos definidos por padrão pela Microsoft é o Explorador de Arquivos (explorer.exe).
Em uma apresentação durante a conferência de segurança DerbyCon, o pesquisador da Fujitsu System Integration Laboratories Ltd. conseguiu descobrir uma forma de injetar um arquivo DLL malicioso no explorer.exe quando ele é executado.
Como o explorer.exe é um dos aplicativos permitidos por padrão pelo recurso Acesso a Pastas Controladas do Windows 10, quando o arquivo DLL é injetado é possível burlar este recurso.
Para isso, Aoyama tirou proveito da forma como os arquivos DLL são carregados quando o explorer.exe é iniciado. Basicamente o explorer.exe carrega as DLLs registradas sob a chave HKEY_CLASSES_ROOT*shellexContextMenuHandlers mostrada abaixo:
A árvore HKEY_CLASSES_ROOT mescla informações do Registro encontradas nas outras árvores HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER, com o Windows dando precedência aos dados na árvore KEY_CURRENT_USER.
Isto significa que se uma chave existe na árvore KEY_CURRENT_USER, ela terá precedência sobre a mesma chave existente na árvore HKEY_LOCAL_MACHINE e os dados serão mesclados na árvore HKEY_CLASSES_ROOT. Isto soa complicado, mas mais detalhes estão disponíveis na documentação da Microsoft publicada aqui.
Por padrão, quando o explorer.exe é iniciado ele carrega o arquivo Shell.dll registrado na chave HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{90AA3A4E-1CBA-4233-B8BB-535773D48449}InProcServer32.
Para carregar o arquivo DLL malicioso no explorer.exe, Aoyama só precisou criar a chave HKEY_CURRENT_USERSoftwareClassesCLSID{90AA3A4E-1CBA-4233-B8BB-535773D48449}InProcServer32 e definir o arquivo DLL malicioso como seu valor padrão.
Agora quando o explorer.exe é encerrado e iniciado novamente, o arquivo DLL malicioso será carregado no lugar do Shell.dll. Você pode ver um exemplo com o arquivo DLL malicioso injetado no explorer.exe na imagem abaixo:
Além de burlar o recurso Acesso a Pastas Controladas do Windows 10, o arquivo DLL malicioso também não foi detectado pelo antivírus Windows Defender.
Em outros testes, Aoyama confirmou que o arquivo DLL malicioso não foi detectado por antivírus da Avast, ESET, McAfee e nem pela versão Premium do Malwarebytes – o detalhe é que todos possuem proteções contra ransomware.
Vídeo com a demonstração do pesquisador Soya Aoyama:
Aoyama notificou o Microsoft Security Response Center (MSRC) sobre sua descoberta e incluiu o código prova-de-conceito que poderia ser usado para burlar o recurso Acesso a Pastas Controladas do Windows 10:
O post Pesquisador de segurança consegue burlar o recurso Acesso a Pastas Controladas do Windows 10 apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br