Der Sicherheitsforscher Daniel Gebert hat eine Möglichkeit gefunden, mithilfe des legitimen Windows-Store-Tools wsreset.exe beliebige Dateien und Ordner zu löschen. Der Angriff lässt sich ihm zufolge auch gegen Sicherheitsanwendungen einsetzen, die dann unter Umständen und ohne Wissen des Nutzers deaktiviert werden.
Konkret löscht die ausführbare Datei die Inhalte von zwei Unterordnern im AppData-Verzeichnis des angemeldeten Benutzers. Wird die Funktion des Tools jedoch mit einer sogenannten Folder Junction verknüpft, lassen sich auch Dateien auch andere Verzeichnisse leeren.
Gebert erstellte für diesen Zweck eine Verzeichnisverknüpfung (Folder Junction), die von den Cookie- und Cache-Ordnern des Windows Store auf den Treiber-Ordner im System32-Verzeichnis verweist. Anschließend führte er das Tool wsreset.exe aus. Als Folge löschte das Tool – mithilfe seiner Administratorrechte – den Inhalt des Ordners „C:\Windows\System32\drivers\etc“.
Den Angriff führte Gebert anschließend gegen das kostenlose Antivirusprogramm von Adaware aus. „Adaware Antivirus speichert Konfigurationsdateien im Ordner ‚C:\ProgramData\adaware\adwareantivirus‘. Adaware benötigt diese Dateien, um mit Malware-Signaturen und -Definitionen interagieren zu können. Normale Nutzer können diesen Ordner nicht löschen“, schreibt Gebert in einem Blogeintrag.
Mit einer Verzeichnisverknüpfung, die auf den fraglichen Ordner von Adaware zeigt, und dem Tool wsreset.exe gelang es ihm jedoch, zumindest einige Dateien in dem Ordner zu löschen – von der Antivirenanwendung aktuell genutzte Dateien wurden nicht entfernt. Die fehlenden Dateien sorgten jedoch dafür, dass die Sicherheitssoftware nach einem Neustart des Betriebssystem dauerhaft funktionsunfähig war.
Schon im vergangenen Jahr hatte der Sicherheitsforscher Hashim Jawad darauf hingewiesen, dass wsreset.exe missbraucht werden kann, um die Benutzerkotensteuerung von Windows 10 zu umgehen, wie Bleeping Computer berichtet. Die Schwachstelle sei nur ein Beispiel für nicht geprüfte Berechtigungen von Windows-Systemdateien, die Cyberkriminellen helfen können, ein System zu kompromittieren.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
