Windows 10 можно поломать с помощью ее собственного магазина приложений
Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.
Куда ведет ссылка
Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.
Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.
Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создает файлы cookie и кэша в следующих папках:
- %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
- %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies
Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.
Создать-удалить
Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь INetCookies на любую другую папку. В результате при запуске wsreset все ее содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.
Перед этим злоумышленнику понадобится удалить исходный каталог INetCookies. Это может сделать любой пользователь - или вредоносная программа - даже с ограниченными привилегиями.
Затем создается "ссылка" - например, с помощью утилиты mklink.exe с параметром /J или команды powershell "new-item" с параметром -ItemType.
В своих примерах Геберт "перенаправлял" путь INetCookies на папку C:WindowsSystem32driversetc, тем самым "натравливая" утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).
"По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, - считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset - по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы".
Как отмечает в своем материале Bleeping Computer, еще в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) - продемонстрировал возможность использования wsreset для обхода системы контроля учетных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.
