Investigador evita la protección contra el software malicioso de acceso controlado a carpetas de Windows

Un investigador de seguridad ha encontrado la manera de eludir la función “Controlled Folder Access” añadida en Windows 10 en octubre de 2017, que Microsoft ha promocionado como una medida defensiva anti-ransomware fiable.

Esta característica, descrita con más detalle en esta revisión de Bleeping Computer, forma parte del antivirus Windows Defender integrado en todas las versiones de Windows 10.

Los usuarios que actualizaron a Windows 10 Fall Creators Update recibieron una actualización para Windows Defender llamada Controlled Folder Access (CFA) que les permite bloquear cualquier modificación de los archivos que se encuentren en los directorios designados por el usuario.

El usuario debe aprobar manualmente cualquier aplicación que permita editar archivos ubicados en carpetas CFA añadiendo el ejecutable de cada aplicación a una lista blanca gestionada a través de la opción “Permitir una aplicación a través de acceso controlado a carpetas”.

Pero Yago Jesus, un investigador de seguridad español de SecurityByDefault, ha descubierto que Microsoft ha puesto automáticamente en la lista blanca todas las aplicaciones de Office de esta lista. Esto significa que las aplicaciones de Office pueden modificar los archivos ubicados en una carpeta CFA, ya sea que al usuario le guste o no.

Ransomware puede utilizar objetos Office OLE para evitar CFA

Jesús dice que un desarrollador de ransomware podría fácilmente eludir la función anti-ransomware de Microsoft CFA añadiendo scripts simples que eluden CFA a través de objetos OLE dentro de los archivos de Office.

En una investigación publicada durante el fin de semana, Jesús incluye tres ejemplos que utilizan documentos de Office con trampas explosivas (recibidos por correo electrónico no deseado) para sobrescribir el contenido de otros documentos de Office almacenados dentro de las carpetas CFA; proteger con contraseña los mismos archivos; o copiar-pegar su contenido dentro de los archivos ubicados fuera de la carpeta CFA, encriptarlos y eliminar los originales.

Mientras que el primer ejemplo es simplemente destructivo, los dos últimos funcionarán como un rescate real, con las víctimas teniendo que pagar al autor del software de rescate por el código de contraseña/descifrado que desbloquea los archivos.

Jesús descontento con Microsoft

Jesús dijo que notificó a Microsoft sobre el problema que descubrió. En una captura de pantalla del correo electrónico que recibió de Microsoft, Jesús dijo que el fabricante del sistema operativo no clasificó el problema como una vulnerabilidad de seguridad, pero dijo que mejoraría CFA en futuras versiones para abordar el método de bypass reportado.

“Eso realmente significa que Microsoft arreglará la vulnerabilidad que debería ser clasificada como desvío de mitigación sin reconocimiento”, dijo Jesús, refiriéndose al hecho de que no obtendrá ningún crédito o recompensa por el problema que señaló.

Créditos de la imagen: Yago Jesus

Contenido relacionado

Categorías Windows

Deja un comentario