ΑρχικήSecurityΤο "wsreset" του Windows 10 Store επιτρέπει την παράκαμψη του antivirus

Το “wsreset” του Windows 10 Store επιτρέπει την παράκαμψη του antivirus

Μια νέα τεχνική εκμεταλλεύεται το εργαλείο wsreset του Windows 10 Microsoft Store και μπορεί να παρακάμψει την antivirus προστασία σε έναν κεντρικό υπολογιστή χωρίς να εντοπιστεί.

Το Wsreset.exe είναι ένα νόμιμο εργαλείο αντιμετώπισης προβλημάτων που επιτρέπει στους χρήστες να διαγνώσουν τα προβλήματα του Windows Store και να επαναφέρουν την προσωρινή μνήμη του.

Windows antivirus wsreset

Ο Pentester και ερευνητής Daniel Gebert ανακάλυψε ότι το wsreset.exe μπορεί να χρησιμοποιηθεί για να διαγραφούν αρχεία αυθαίρετα.

Καθώς το wsreset.exe λειτουργεί με αυξημένα δικαιώματα, επειδή ασχολείται με τις ρυθμίσεις των Windows, αυτό το σφάλμα θα επέτρεπε στους εισβολείς να διαγράψουν αρχεία, ακόμη και αν δεν είχαν κανονικά τα δικαιώματα.

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis 
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi 

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpNVzNRUzl1UUYw

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό

SecNewsTV 4 Οκτωβρίου 2024, 17:25 17:25

#secnews #markzuckerberg #richest 

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg 
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #markzuckerberg #richest

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRLRDZFUUs4cDg4

Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰

SecNewsTV 4 Οκτωβρίου 2024, 15:02 15:02

Διαγραφή αρχείων χρησιμοποιώντας το wsreset.exe

Κατά τη δημιουργία προσωρινών αρχείων προσωρινής μνήμης και cookie, το Windows Store αποθηκεύει αυτά τα αρχεία στα ακόλουθα directories:

Μετά την ανάλυση του βοηθητικού προγράμματος wsreset, ο Gebert διαπίστωσε ότι το εργαλείο θα διαγράψει αρχεία που υπάρχουν σε αυτούς τους φακέλους, επαναφέροντας έτσι την προσωρινή μνήμη και τα cookie για την εφαρμογή Windows Store.

Η τεχνική εκμετάλλευσης που αναφέρεται εδώ βασίζεται στην απλή έννοια των «folder junctions» που είναι παρόμοιοι.

Εάν ένας εισβολέας μπορεί να δημιουργήσει έναν σύνδεσμο που οδηγεί αυτό το path \InetCookies σε ένα target directory της επιλογής του εισβολέα, το target directory θα είναι αυτό που θα διαγραφεί όταν εκτελείται το wsreset. Αυτό συμβαίνει επειδή το wsreset εκτελείται από προεπιλογή με προεπιλεγμένα υψηλά δικαιώματα.

Για να ξεκινήσει, ο εισβολέας διαγράφει πρώτα το φάκελο \ INetCookies (τον οποίο διαφορετικά θα είχε διαγράψει το βοηθητικό πρόγραμμα wsreset). Οι χρήστες με περιορισμένα δικαιώματα μπορούν να διαγράψουν το φάκελο, οπότε αυτό δεν αποτελεί πρόκληση – είτε ένας εισβολέας με τον έλεγχο ενός λογαριασμού χρήστη είτε ένα κακόβουλο script που εκτελείται στον λογαριασμό του παραβιασμένου χρήστη μπορούν να το επιτύχουν.

Μετά από αυτό, ένας εισβολέας δημιουργεί ένα link ή ένα “folder junction’, κάνοντας την τοποθεσία \ INetCookies να δείχνει σε μια προνομιακή τοποθεσία που θα ήθελε να διαγράψει το wsreset.exe.

Στο παράδειγμα που φαίνεται παρακάτω, ο εισβολέας χαρτογραφεί το directory \INetCookies στη θέση “C: \ Windows \ System32 \ drivers \ etc”. Οι φάκελοι \ etc περιέχουν σημαντικά αρχεία ρυθμίσεων, συμπεριλαμβανομένου του αρχείου “hosts” για τη διαμόρφωση τοπικών κανόνων DNS.

“Αυτό μπορεί να γίνει χρησιμοποιώντας το mklink.exe με την παράμετρο ‘/ J’ ή μέσω της εντολής new-item του Powerhell με την παράμετρο ‘-ItemType.'” εξηγεί ο Gelbert στην ανάρτηση στο blog του.

Τώρα, όταν το “wsreset” εκτελείται από τον εισβολέα ή το script τους, ο φάκελος “\ etc” που διαφορετικά θα απαιτούσε εκκαθάριση αυξημένων δικαιωμάτων, θα διαγραφεί.

Κατάχρηση του wsreset για παράκαμψη του antivirus

Ο ερευνητής απέδειξε πώς αυτή η συμπεριφορά θα μπορούσε να χρησιμοποιηθεί για να γίνει παράκαμψη του antivirus, εστιάζοντας στο Adaware ως παράδειγμα.

“Το antivirus Adaware αποθηκεύει αρχεία διαμόρφωσης (και πολλά άλλα) στο φάκελο ‘C: \ ProgramData \ adaware \ adware antivirus’. Το antivirus Adaware χρειάζεται αυτά τα αρχεία για να αλληλεπιδράσει με υπογραφές κακόβουλου λογισμικού που έχουν ληφθεί στο παρελθόν. Οι κανονικοί χρήστες δεν μπορούν να διαγράψουν αυτόν το φάκελο”, δήλωσε ο Gelbert.

Αφού ο εισβολέας δημιουργήσει το συμβολικό link “\ INetCookies” για να δείχνει στο φάκελο “\ antaware antivirus” και να εκτελέσει το wsreset, τα αρχεία μέσα στον φάκελο διαγράφονται πλέον απρόσκοπτα.

Βεβαίως, ορισμένα αρχεία (τα οποία χρησιμοποιήθηκαν από το πρόγραμμα προστασίας από ιούς) ενδέχεται να παραμείνουν μέσα στο φάκελο ακόμα και μετά την εκτέλεση του wsreset αλλά αυτό δεν είναι πρόβλημα. Η συνολική διαδικασία είναι αρκετή για να καταστρέψει την λειτουργία του antivirus.

Μετά την επανεκκίνηση του antivirus, θα απενεργοποιηθεί οριστικά. Αυτό συμβαίνει επειδή οι ρυθμίσεις και άλλα βασικά αρχεία έχουν εκκαθαριστεί από το σύστημα. Και το antivirus δεν μπόρεσε να το εντοπίσει ούτε να το αποτρέψει.

Αυτή η ευπάθεια κλιμάκωσης προνομίων που υπάρχει στο βοηθητικό πρόγραμμα wsreset.exe μπορεί να χρησιμοποιηθεί για άλλους σκοπούς, όπως η παράκαμψη UAC, όπως αποδείχθηκε από τον Hashim Jawad το 2019.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS