导语:最近,一位安全研究人员发现了一种方法,可以绕过2017年10月在Windows 10中添加的“受控文件夹访问(Controlled Folder Access)”功能,微软称这是一个可靠的反勒索软件防御措施。

W10-CFA.png

最近,一位安全研究人员发现了一种方法,可以绕过2017年10月在Windows 10中添加的“受控文件夹访问(Controlled Folder Access)”功能,微软称这是一个可靠的反勒索软件防御措施。

“受控文件夹访问”的介绍

勒索软件日益猖獗,除了安装一般的杀毒软件和防火墙之外,windows10系统还添加了"受控文件夹访问"功能。微软称借助这个功能,微软能够帮助不主动更新系统的用户抵御类似于WannaCry、Petya这样的勒索病毒攻击。

这个功能的工作原理是这样的:受控文件夹访问能够监视哪些应用修改文件内容,如果一个应用程序试图对文件夹做修改,并且该功能已被列入黑名单,那么在保护同时还会发出相关系统通知。你可以添加受保护文件夹的附加位置,并添加可用允许访问这些文件夹的应用程序。

 “受控文件夹访问”会被内置在所有版本的Windows 10中,当用户更新到Windows 10 Fall Creators Update(秋季创意者更新)时,会收到了一个名为“受控文件夹访问”的Windows Defender Update,以允许他们阻止对用户指定目录中文件的任何修改。

用户必须手动批准任何允许在CFA文件夹中编辑文件的应用程序,通过将每个应用程序的可执行文件添加到“允许应用程序通过受控文件夹访问”选项管理的白名单中。

WCFA-Step4.png

但是,SecurityByDefault的西班牙安全研究员Yago Jesus发现,微软已经将列表中的所有Office应用自动列入白名单。这意味着Office应用程序可以修改位于CFA文件夹中的文件,无论用户是否喜欢。

勒索软件可以使用Office OLE对象绕过“受控文件夹访问”

Jesus发现,勒索软件的幕后开发人员可以通过添加一些简单的脚本,从而通过Office文件中的OLE对象轻松绕过“受控文件夹访问”的反勒索功能。

在Jesus周末发表的文章中,Jesus列举了三个通过垃圾邮件进行传播的office恶意文件,它们都可以覆盖存储在CFA文件夹内的其他Office文件内容、密码保护文件或将正常文件内容复制到位于CFA文件夹之外的文件中,然后对其进行加密,并删除原文件以便对受害者进行勒索。

微软的反应

Jesus已经通知了微软他发现的漏洞。但通过下图,我们可以发现Jesus从微软收到的电子邮件中,微软并没有将这个问题归类为安全漏洞,而是表示将在未来版本中改进CFA来解决此漏洞。

microsoft-email-response-jesus.jpg

Jesus表示:

这意味着微软虽然会修复这个漏洞,但并不会承认这就是个漏洞,这说明我不会因发现了真正的漏洞而得到微软的赏金,这让我的辛苦得不到回报,很是懊恼。

源链接

Hacking more

...