Offizielles Windows-10-Store-Tool hebelt Schutz von Antivirenprogrammen aus

Ein Sicherheitsforscher demonstriert seinen Angriff anhand von Adaware Antivirus. Das Windows-Store-Tool soll eigentlich Probleme mit dem App-Marktplatz beheben. Es kann aber auch benutzt werden, um beliebige Dateien von einem Windows-Rechner zu entfernen – mit Administratorrechten.

Der Sicherheitsforscher Daniel Gebert hat eine Möglichkeit gefunden, mithilfe des legitimen Windows-Store-Tools wsreset.exe beliebige Dateien und Ordner zu löschen. Der Angriff lässt sich ihm zufolge auch gegen Sicherheitsanwendungen einsetzen, die dann unter Umständen und ohne Wissen des Nutzers deaktiviert werden.

Windows Store (Bild: Microsoft)Das Tool wird von Microsoft bereitgestellt, um Probleme mit dem Windows Store zu beheben. Es löscht Cookies und Cache-Dateien des App-Marktplatzes, ohne dass installierte Apps entfernt werden. Zu diesem Zweck ist wsreset.exe in der Lage, sich selbst Administratorrechte zu verleihen.

Konkret löscht die ausführbare Datei die Inhalte von zwei Unterordnern im AppData-Verzeichnis des angemeldeten Benutzers. Wird die Funktion des Tools jedoch mit einer sogenannten Folder Junction verknüpft, lassen sich auch Dateien auch andere Verzeichnisse leeren.

Gebert erstellte für diesen Zweck eine Verzeichnisverknüpfung (Folder Junction), die von den Cookie- und Cache-Ordnern des Windows Store auf den Treiber-Ordner im System32-Verzeichnis verweist. Anschließend führte er das Tool wsreset.exe aus. Als Folge löschte das Tool – mithilfe seiner Administratorrechte – den Inhalt des Ordners „C:\Windows\System32\drivers\etc“.

Den Angriff führte Gebert anschließend gegen das kostenlose Antivirusprogramm von Adaware aus. „Adaware Antivirus speichert Konfigurationsdateien im Ordner ‚C:\ProgramData\adaware\adwareantivirus‘. Adaware benötigt diese Dateien, um mit Malware-Signaturen und -Definitionen interagieren zu können. Normale Nutzer können diesen Ordner nicht löschen“, schreibt Gebert in einem Blogeintrag.

Mit einer Verzeichnisverknüpfung, die auf den fraglichen Ordner von Adaware zeigt, und dem Tool wsreset.exe gelang es ihm jedoch, zumindest einige Dateien in dem Ordner zu löschen – von der Antivirenanwendung aktuell genutzte Dateien wurden nicht entfernt. Die fehlenden Dateien sorgten jedoch dafür, dass die Sicherheitssoftware nach einem Neustart des Betriebssystem dauerhaft funktionsunfähig war.

Schon im vergangenen Jahr hatte der Sicherheitsforscher Hashim Jawad darauf hingewiesen, dass wsreset.exe missbraucht werden kann, um die Benutzerkotensteuerung von Windows 10 zu umgehen, wie Bleeping Computer berichtet. Die Schwachstelle sei nur ein Beispiel für nicht geprüfte Berechtigungen von Windows-Systemdateien, die Cyberkriminellen helfen können, ein System zu kompromittieren.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Themenseiten: Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Offizielles Windows-10-Store-Tool hebelt Schutz von Antivirenprogrammen aus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *