Der Sicherheitsforscher Daniel Gebert hat eine Möglichkeit gefunden, mithilfe des legitimen Windows-Store-Tools wsreset.exe beliebige Dateien und Ordner zu löschen. Der Angriff lässt sich ihm zufolge auch gegen Sicherheitsanwendungen einsetzen, die dann unter Umständen und ohne Wissen des Nutzers deaktiviert werden.
Konkret löscht die ausführbare Datei die Inhalte von zwei Unterordnern im AppData-Verzeichnis des angemeldeten Benutzers. Wird die Funktion des Tools jedoch mit einer sogenannten Folder Junction verknüpft, lassen sich auch Dateien auch andere Verzeichnisse leeren.
Gebert erstellte für diesen Zweck eine Verzeichnisverknüpfung (Folder Junction), die von den Cookie- und Cache-Ordnern des Windows Store auf den Treiber-Ordner im System32-Verzeichnis verweist. Anschließend führte er das Tool wsreset.exe aus. Als Folge löschte das Tool – mithilfe seiner Administratorrechte – den Inhalt des Ordners „C:\Windows\System32\drivers\etc“.
Den Angriff führte Gebert anschließend gegen das kostenlose Antivirusprogramm von Adaware aus. „Adaware Antivirus speichert Konfigurationsdateien im Ordner ‚C:\ProgramData\adaware\adwareantivirus‘. Adaware benötigt diese Dateien, um mit Malware-Signaturen und -Definitionen interagieren zu können. Normale Nutzer können diesen Ordner nicht löschen“, schreibt Gebert in einem Blogeintrag.
Mit einer Verzeichnisverknüpfung, die auf den fraglichen Ordner von Adaware zeigt, und dem Tool wsreset.exe gelang es ihm jedoch, zumindest einige Dateien in dem Ordner zu löschen – von der Antivirenanwendung aktuell genutzte Dateien wurden nicht entfernt. Die fehlenden Dateien sorgten jedoch dafür, dass die Sicherheitssoftware nach einem Neustart des Betriebssystem dauerhaft funktionsunfähig war.
Schon im vergangenen Jahr hatte der Sicherheitsforscher Hashim Jawad darauf hingewiesen, dass wsreset.exe missbraucht werden kann, um die Benutzerkotensteuerung von Windows 10 zu umgehen, wie Bleeping Computer berichtet. Die Schwachstelle sei nur ein Beispiel für nicht geprüfte Berechtigungen von Windows-Systemdateien, die Cyberkriminellen helfen können, ein System zu kompromittieren.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…