Offizielles Windows-10-Store-Tool hebelt Schutz von Antivirenprogrammen aus

Der Sicherheitsforscher Daniel Gebert hat eine Möglichkeit gefunden, mithilfe des legitimen Windows-Store-Tools wsreset.exe beliebige Dateien und Ordner zu löschen. Der Angriff lässt sich ihm zufolge auch gegen Sicherheitsanwendungen einsetzen, die dann unter Umständen und ohne Wissen des Nutzers deaktiviert werden.

Das Tool wird von Microsoft bereitgestellt, um Probleme mit dem Windows Store zu beheben. Es löscht Cookies und Cache-Dateien des App-Marktplatzes, ohne dass installierte Apps entfernt werden. Zu diesem Zweck ist wsreset.exe in der Lage, sich selbst Administratorrechte zu verleihen.

Konkret löscht die ausführbare Datei die Inhalte von zwei Unterordnern im AppData-Verzeichnis des angemeldeten Benutzers. Wird die Funktion des Tools jedoch mit einer sogenannten Folder Junction verknüpft, lassen sich auch Dateien auch andere Verzeichnisse leeren.

Gebert erstellte für diesen Zweck eine Verzeichnisverknüpfung (Folder Junction), die von den Cookie- und Cache-Ordnern des Windows Store auf den Treiber-Ordner im System32-Verzeichnis verweist. Anschließend führte er das Tool wsreset.exe aus. Als Folge löschte das Tool – mithilfe seiner Administratorrechte – den Inhalt des Ordners „C:\Windows\System32\drivers\etc“.

Den Angriff führte Gebert anschließend gegen das kostenlose Antivirusprogramm von Adaware aus. „Adaware Antivirus speichert Konfigurationsdateien im Ordner ‚C:\ProgramData\adaware\adwareantivirus‘. Adaware benötigt diese Dateien, um mit Malware-Signaturen und -Definitionen interagieren zu können. Normale Nutzer können diesen Ordner nicht löschen“, schreibt Gebert in einem Blogeintrag.

Mit einer Verzeichnisverknüpfung, die auf den fraglichen Ordner von Adaware zeigt, und dem Tool wsreset.exe gelang es ihm jedoch, zumindest einige Dateien in dem Ordner zu löschen – von der Antivirenanwendung aktuell genutzte Dateien wurden nicht entfernt. Die fehlenden Dateien sorgten jedoch dafür, dass die Sicherheitssoftware nach einem Neustart des Betriebssystem dauerhaft funktionsunfähig war.

Schon im vergangenen Jahr hatte der Sicherheitsforscher Hashim Jawad darauf hingewiesen, dass wsreset.exe missbraucht werden kann, um die Benutzerkotensteuerung von Windows 10 zu umgehen, wie Bleeping Computer berichtet. Die Schwachstelle sei nur ein Beispiel für nicht geprüfte Berechtigungen von Windows-Systemdateien, die Cyberkriminellen helfen können, ein System zu kompromittieren.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Soundcore Life Q30: Kopfhörer mit Geräuschunterdrückung ausprobiert

Der Soundcore Life Q30 bietet für knapp 80 Euro 40-mm-Treiber mit Seidenmembranen. Die aktualisierte Soundcore-App…

26 Minuten ago

OpenStack Foundation wird zur Open Infrastructure Foundation

Die OpenStack Foundation erweitert ihren Fokus von der OpenStack Infrastructure as a Service (IaaS) Cloud…

5 Stunden ago

Facebook stellt M2-M100 vor

Facebook AI stellt M2M-100 vor, ein mehrsprachiges maschinelles Übersetzungsmodell (MMT), das beliebige Worte in 100…

6 Stunden ago

Microsoft installiert ungefragt Office

Microsoft hat mit einem Bug zu kämpfen: Windows 10 installiert verschiedene Office-Anwendungen in Form von…

9 Stunden ago

Gartner sieht „Internet of Behaviors“ am Horizont

Das Internet der Verhaltensweisen „Internet of Behaviors“ (IoB), Gesamterfahrungen, überall Operationen, Automatisierung und KI-Engineering gehören…

10 Stunden ago

Windows 10: DoH bei Build 20236 aktivieren

Die Verschlüsselung von DNS-Anfragen unterstützt Windows 10 in aktuellen Insider-Builds aus dem Kanal Developer. Die…

23 Stunden ago