عادةً ما يعني امتلاك أفضل برامج مكافحة الفيروسات لنظام التشغيل Windows 10 أن جهاز الكمبيوتر الخاص بنا محمي ضد جميع الفيروسات وأحصنة طروادة والبرامج الضارة الموجودة على الإنترنت تقريبًا. ومع ذلك ، قد لا يعمل هذا مع التهديدات الحديثة للغاية . في هذه الحالة ، نعلم أن مضاد الفيروسات الخاص بك لن يحميك بسبب فشل في متجر الويندوز ، خاصة مع ملف wsreset.exe.
أصدرت Microsoft ثاني أكبر تصحيح أمني في تاريخها في يوليو مع إصلاح 123 مشكلة أمنية. تم إطلاق أكبرتصحيح في يناير من هذا العام وإصلاح 129 من العيوب الأمنية. ومع ذلك ، لا يمنع هذا من تحديد المشاكل الأمنية الجديدة. عادة ، تُمنح مايكروسوفت (وغيرها من الشركات) 90 يومًا لإصلاحها قبل طرحها للجمهور. أحد هذه الأخيرة يتعلق بمتجر التطبيقات.
ما هو wsreset.exe وماذا يفعل مع برنامج مكافح الفيروسات؟
اكتشف الباحث الأمني دانييل جبرت أنه يمكن "إساءة استخدام" wsreset.exe لحذف الملفات العشوائية من نظام التشغيل. يعمل هذا الملف القابل للتنفيذ مع امتيازات مرتفعة في الويندوز 10 لأنه يعمل على إعدادات النظام. في هذه الحالة ، هي أداة متجر تطبيقات تعيد تعيين جميع الإعدادات والمحتوى المخزن دون حذف التطبيقات أو حسابات المستخدمين.
عند إنشاء ملفات وملفات تعريف ارتباط مؤقتة ، يقوم متجر التطبيقات بذلك في هذين الموقعين:
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies
يبدأ الهجوم بحذف مجلد INetCookies و "ربطه" بموقع مميز على النظام. في المثال الموضح ، مع "C: WindowsSystem32driversetc". الآن عندما نقوم بتشغيل أداة wsreset.exe ، فإنها تزيل محتويات System32 بدلاً من INetCookies. هذا يسمح لها بتخطي الحماية من الفيروسات.
في المثال يقولون لنا أن مضاد الفيروسات Adaware يحفظ إعداداته في "C: ProgramDataadawareadaware antivirus". لا يمكن للمستخدمين "العاديين" حذف هذا المجلد ، ولكن يمكننا القيام بـ "الحيلة" أعلاه حتى يتولى wsreset.exe كل شيء. من خلال إعادة تشغيل النظام مرة أخرى ، يتم تعطيل برنامج مكافحة الفيروسات بشكل دائم ولن يقوم بفحص التهديدات في الوقت الحقيقي.
كما نرى ، فقد تم عرض مثال على حذف المجلدات من نظام التشغيل أو تعطيل برنامج مكافحة الفيروسات ، ولكن مشكلة الأمان في wsreset.exe يمكن أن تسمح بالعديد من الأشرار حتى بتخطي UAC أو التحكم في حساب المستخدم.
أصدرت Microsoft ثاني أكبر تصحيح أمني في تاريخها في يوليو مع إصلاح 123 مشكلة أمنية. تم إطلاق أكبرتصحيح في يناير من هذا العام وإصلاح 129 من العيوب الأمنية. ومع ذلك ، لا يمنع هذا من تحديد المشاكل الأمنية الجديدة. عادة ، تُمنح مايكروسوفت (وغيرها من الشركات) 90 يومًا لإصلاحها قبل طرحها للجمهور. أحد هذه الأخيرة يتعلق بمتجر التطبيقات.
ما هو wsreset.exe وماذا يفعل مع برنامج مكافح الفيروسات؟
اكتشف الباحث الأمني دانييل جبرت أنه يمكن "إساءة استخدام" wsreset.exe لحذف الملفات العشوائية من نظام التشغيل. يعمل هذا الملف القابل للتنفيذ مع امتيازات مرتفعة في الويندوز 10 لأنه يعمل على إعدادات النظام. في هذه الحالة ، هي أداة متجر تطبيقات تعيد تعيين جميع الإعدادات والمحتوى المخزن دون حذف التطبيقات أو حسابات المستخدمين.
عند إنشاء ملفات وملفات تعريف ارتباط مؤقتة ، يقوم متجر التطبيقات بذلك في هذين الموقعين:
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
%UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies
يبدأ الهجوم بحذف مجلد INetCookies و "ربطه" بموقع مميز على النظام. في المثال الموضح ، مع "C: WindowsSystem32driversetc". الآن عندما نقوم بتشغيل أداة wsreset.exe ، فإنها تزيل محتويات System32 بدلاً من INetCookies. هذا يسمح لها بتخطي الحماية من الفيروسات.
في المثال يقولون لنا أن مضاد الفيروسات Adaware يحفظ إعداداته في "C: ProgramDataadawareadaware antivirus". لا يمكن للمستخدمين "العاديين" حذف هذا المجلد ، ولكن يمكننا القيام بـ "الحيلة" أعلاه حتى يتولى wsreset.exe كل شيء. من خلال إعادة تشغيل النظام مرة أخرى ، يتم تعطيل برنامج مكافحة الفيروسات بشكل دائم ولن يقوم بفحص التهديدات في الوقت الحقيقي.
كما نرى ، فقد تم عرض مثال على حذف المجلدات من نظام التشغيل أو تعطيل برنامج مكافحة الفيروسات ، ولكن مشكلة الأمان في wsreset.exe يمكن أن تسمح بالعديد من الأشرار حتى بتخطي UAC أو التحكم في حساب المستخدم.
from حوحو للمعلوميات https://ift.tt/30xc80T
via IFTTT
0 التعليقات:
إرسال تعليق