Исследователь нашел способ обойти встроенную в Windows 10 защиту от шифровальщиков

Функция “Контролируемый доступ к папкам” была впервые представлена в Windows 10 Fall Creators Update. Она является частью Защитника Windows и позволяет блокировать несанкционированные изменения файлов в настроенных пользователем директориях.

Пользователь должен вручную настроить, какие приложения могут получать доступ к защищенным папкам с помощью белого списка, доступного по ссылке “Разрешить работу приложения через контролируемый доступ к папкам”.

Однако, исследователь из компании SecurityByDefault обнаружил, что Microsoft автоматически добавила в белые списки все приложения Microsoft Office. Это означает, что приложения Office могут изменять файлы в контролируемых папках независимо от того, желает этого пользователь или нет.

Шифровальщики могут обойти защиту с помощью OLE-объектов Office

Эксперт утверждает, что разработчики вредоносного ПО смогут легко обойти защиту Microsoft, добавив в документы с помощью OLE-объектов простой скрипт. В своем отчете исследователь приводит три примера использования документов Office (полученных через электронную почту) для перезаписывания содержимого других файлов, хранящихся в защищенных папках, установки пароля на файлы или копирования и вставки содержимого файлов, шифрования и удаления оригиналов.

Если первый пример приводит к потере информации, то второй и третий фактически имитируют работу шифровальщиков. Жертвам нужно заплатить преступнику, чтобы получить пароль от файла или расшифровать его содержимое.

Исследователь проинформировал Microsoft об обнаруженной проблеме. Компания не стала классифицировать проблему как уязвимость безопасности, но заверила, что в будущих выпусках данный метод обхода защиты будет заблокирован.