Der Sicherheitsforscher Daniel Gebert hat eine Möglichkeit gefunden, mithilfe des legitimen Windows-Store-Tools wsreset.exe beliebige Dateien und Ordner zu löschen. Der Angriff lässt sich ihm zufolge auch gegen Sicherheitsanwendungen einsetzen, die dann unter Umständen und ohne Wissen des Nutzers deaktiviert werden.
Konkret löscht die ausführbare Datei die Inhalte von zwei Unterordnern im AppData-Verzeichnis des angemeldeten Benutzers. Wird die Funktion des Tools jedoch mit einer sogenannten Folder Junction verknüpft, lassen sich auch Dateien auch andere Verzeichnisse leeren.
Gebert erstellte für diesen Zweck eine Verzeichnisverknüpfung (Folder Junction), die von den Cookie- und Cache-Ordnern des Windows Store auf den Treiber-Ordner im System32-Verzeichnis verweist. Anschließend führte er das Tool wsreset.exe aus. Als Folge löschte das Tool – mithilfe seiner Administratorrechte – den Inhalt des Ordners „C:\Windows\System32\drivers\etc“.
Den Angriff führte Gebert anschließend gegen das kostenlose Antivirusprogramm von Adaware aus. „Adaware Antivirus speichert Konfigurationsdateien im Ordner ‚C:\ProgramData\adaware\adwareantivirus‘. Adaware benötigt diese Dateien, um mit Malware-Signaturen und -Definitionen interagieren zu können. Normale Nutzer können diesen Ordner nicht löschen“, schreibt Gebert in einem Blogeintrag.
Mit einer Verzeichnisverknüpfung, die auf den fraglichen Ordner von Adaware zeigt, und dem Tool wsreset.exe gelang es ihm jedoch, zumindest einige Dateien in dem Ordner zu löschen – von der Antivirenanwendung aktuell genutzte Dateien wurden nicht entfernt. Die fehlenden Dateien sorgten jedoch dafür, dass die Sicherheitssoftware nach einem Neustart des Betriebssystem dauerhaft funktionsunfähig war.
Schon im vergangenen Jahr hatte der Sicherheitsforscher Hashim Jawad darauf hingewiesen, dass wsreset.exe missbraucht werden kann, um die Benutzerkotensteuerung von Windows 10 zu umgehen, wie Bleeping Computer berichtet. Die Schwachstelle sei nur ein Beispiel für nicht geprüfte Berechtigungen von Windows-Systemdateien, die Cyberkriminellen helfen können, ein System zu kompromittieren.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…