Диагностический инструмент для клиентской программы Windows Store можно заставить удалять любые файлы в произвольных папках. В том числе, драйверы и антивирусные сигнатуры.

Куда ведёт ссылка

Киберзлоумышленники могут использовать диагностический инструмент wsreset.exe для обхода антивирусов в среде Windows 10.

Wsreset предназначен для диагностики неполадок в работе клиентской программы Microsoft Windows Store, магазина приложений Windows 10. Однако, как пишет издание Bleeping Computer, существует возможность удалять с помощью этого инструмента произвольные файлы.

Исследователь и пентестер Дэниел Геберт (Daniel Gebert) выяснил, что Windows Store создаёт файлы cookie и кэша в следующих папках:

— %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCache
— %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_8wekyb3d8bbweACINetCookies

Wsreset может удалять любые файлы, располагающиеся в данных папках, тем самым сбрасывая кэш и cookie.

Создать-удалить

Злоумышленник может воспользоваться этим для осуществления вредоносных действий. Для этого ему потребуется создать ссылку, которая будет переводить путь INetCookies на любую другую папку. В результате при запуске wsreset всё её содержимое будет уничтожено: утилита по умолчанию функционирует с повышенными привилегиями.

Перед этим злоумышленнику понадобится удалить исходный каталог INetCookies. Это может сделать любой пользователь — или вредоносная программа — даже с ограниченными привилегиями.

Затем создаётся «ссылка» — например, с помощью утилиты mklink.exe с параметром /J или команды powershell «new-item» с параметром -ItemType.

В своих примерах Геберт «перенаправлял» путь INetCookies на папку C:WindowsSystem32driversetc, тем самым «натравливая» утилиту wsreset на системные драйверы. Кроме того, он показал, что с помощью той же техники можно истребить все сигнатуры установленного в системе антивируса (например, Adaware).

«По идее, приложение, имеющее полномочия на удаление файлов, должно тщательно проверять, какой именно каталог оно очищает, и при этом производить удаление файлов только с ведома и согласия пользователя с высокими привилегиями, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Обычный пользователь не должен обладать полномочиями для запуска программ, у которых привилегии выше, чем у него, а wsreset — по сути, утилита для администрирования и, следовательно, должна запускаться только администратором системы».

Как отмечает в своем материале Bleeping Computer, ещё в 2019 г. другой исследователь по имени Хашим Джавад (Hashim Jawad) — продемонстрировал возможность использования wsreset для обхода системы контроля учётных записей в Windows (UAC). Джавад использовал уязвимость в wsreset, связанную с повышением привилегий в системе.

Источник: cnews.ru