Функция “Контролируемый доступ к папкам” была впервые представлена в Windows 10 Fall Creators Update. Она является частью Защитника Windows и позволяет блокировать несанкционированные изменения файлов в настроенных пользователем директориях.
Пользователь должен вручную настроить, какие приложения могут получать доступ к защищенным папкам с помощью белого списка, доступного по ссылке “Разрешить работу приложения через контролируемый доступ к папкам”.
Однако, исследователь из компании SecurityByDefault обнаружил, что Microsoft автоматически добавила в белые списки все приложения Microsoft Office. Это означает, что приложения Office могут изменять файлы в контролируемых папках независимо от того, желает этого пользователь или нет.
Шифровальщики могут обойти защиту с помощью OLE-объектов Office
Эксперт утверждает, что разработчики вредоносного ПО смогут легко обойти защиту Microsoft, добавив в документы с помощью OLE-объектов простой скрипт. В своем отчете исследователь приводит три примера использования документов Office (полученных через электронную почту) для перезаписывания содержимого других файлов, хранящихся в защищенных папках, установки пароля на файлы или копирования и вставки содержимого файлов, шифрования и удаления оригиналов.
Если первый пример приводит к потере информации, то второй и третий фактически имитируют работу шифровальщиков. Жертвам нужно заплатить преступнику, чтобы получить пароль от файла или расшифровать его содержимое.
Исследователь проинформировал Microsoft об обнаруженной проблеме. Компания не стала классифицировать проблему как уязвимость безопасности, но заверила, что в будущих выпусках данный метод обхода защиты будет заблокирован.
Угрозы безопасности
• Разработчик антивируса Avast оштрафован на 16,5 млн долларов за продажу данных пользователей
• Хакеры взломали серверы AnyDesk, пользователям нужно сбросить пароли
• «Яндекс ID» предотвратил 50 млн подозрительных попыток входа в аккаунты за год
• Учетные данные 70 миллионов пользователей обнаружены в даркнете
• Уязвимость LeftoverLocals позволяет получать ИИ-данные из GPU от AMD, Apple, Qualcomm
• iShutdown – инструмент от «Лаборатории Касперского» для обнаружения шпионской программы Pegasus на iPhone