مكتبة جميع البرامج التي تحتاجها - موقع متميز وخطوات بسيطة

يمكن للتقنية التي تستغل متجر Windows 10 Microsoft Store المسمى 'wsreset.exe' أن تحذف تجاوز الحماية من الفيروسات على الكمبيوتر دون أن يتم اكتشافها.

Wsreset.exe هي أداة شرعية لاستكشاف الأخطاء وإصلاحها تتيح للمستخدمين تشخيص المشكلات في متجر Windows وإعادة تعيين ذاكرة التخزين المؤقت الخاصة به.

تم اكتشاف أنه يمكن إساءة استخدام wsreset.exe لحذف الملفات العشوائية.

نظرًا لأن wsreset.exe يعمل بصلاحيات كبيرة لأنه يتعامل مع إعدادات Windows ، فإن هذا الخطأ سيسمح للمهاجمين بحذف الملفات حتى إذا لم يكن لديهم الصلاحيات.

حذف الملفات باستخدام wsreset.exe

عند إنشاء ذاكرة تخزين مؤقت وملفات تعريف الارتباط ، يقوم متجر Windows بتخزين هذه الملفات في المسارات التالية:

%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCache

%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies

بعد تحليل الأداة المساعدة wsreset وجد أن الأداة ستحذف الملفات الموجودة في هذه المجلدات ، وبالتالي "إعادة تعيين" ذاكرة التخزين المؤقت وملفات تعريف الارتباط لتطبيق Windows Store.

تعتمد تقنية الاستغلال المذكورة هنا على مفهوم بسيط لـ "تقاطعات المجلدات".

إذا تمكن المهاجم من إنشاء ارتباط يشير إلى مسار \ InetCookies هذا إلى مجلد يختاره المهاجم فسيتم حذف الدليل الهدف عند تشغيل wsreset. وذلك لأن wsreset يعمل بامتيازات رفع تلقائي.

للبدء ، يقوم المهاجم أولاً بحذف المجلد \ INetCookies (الذي كانت الأداة المساعدة wsreset ستقوم بمسحه بخلاف ذلك).

يمكن للمستخدمين الذين يتمتعون بامتيازات محدودة حذف المجلد ، بحيث لا يمثل ذلك تحديًا - إما أن يقوم مهاجم يتحكم في حساب مستخدم أو برنامج نصي ضار يعمل داخل حساب المستخدم المخترق بتنفيذ ذلك.

بعد ذلك ، يقوم المهاجم الآن بإنشاء "ارتباط" أو تقاطع مجلد ، مما يجعل موقع \ INetCookies يشير إلى موقع مميز يرغب في حذف wsreset.exe منه.

في المثال الموضح أدناه ، يقوم المهاجم بتعيين دليل \ INetCookies إلى موقع "C: \ Windows \ System32 \ drivers \ etc". تحتوي المجلدات \ etc على ملفات تكوين وإعدادات مهمة ، بما في ذلك ملف "المضيفين" لتكوين قواعد DNS المحلية.

"يمكن القيام بذلك باستخدام mklink.exe مع المعلمة '/ J' أو عن طريق أمر powershell new-item مع '-ItemType.' المعلمة ، "يوضح جيلبرت في

الآن عندما يتم تشغيل "wsreset" من قبل المهاجم أو البرنامج النصي الخاص بهم ، سيتم حذف المجلد "\ etc" الذي يتطلب خلاف ذلك امتيازات عالية للمسح.

إساءة استخدام wsreset لتجاوز برنامج مكافحة الفيروسات

"يقوم برنامج مكافحة الفيروسات Adaware بتخزين ملفات التكوين (والمزيد) في المجلد 'C: \ ProgramData \ adaware \ adaware antivirus".

يحتاج برنامج مكافحة الفيروسات Adaware إلى هذه الملفات للتفاعل مع توقيعات / تعريفات البرامج الضارة التي تم تنزيلها من قبل. لا يمكن للمستخدمين العاديين حذف هذا المجلد ". .

بمجرد قيام المهاجم بإنشاء ارتباطه الرمزي "\ INetCookies" للإشارة إلى المجلد "\ adaware antivirus" وتشغيل wsreset ، يتم الآن حذف الملفات الموجودة داخل المجلد بسلاسة.

صحيح أن بعض الملفات (التي كانت قيد الاستخدام بواسطة برنامج مكافحة الفيروسات) قد تبقى داخل المجلد حتى بعد تشغيل wsreset ، فهذه ليست مشكلة. العملية الإجمالية كافية لإتلاف مكافحة الفيروسات وإخراجها عن نطاق السيطرة.

عند إعادة التشغيل ، بعد إعادة تشغيل مضاد الفيروسات ، سيتم تعطيله بشكل دائم. وذلك لأن الإعدادات والتوقيعات / التعريفات والملفات الأساسية الأخرى قد تم تطهيرها من النظام. ولم يكن مضاد الفيروسات قادرًا على اكتشاف هذا أو منعه أيضًا.

يمكن إساءة استخدام ثغرة التصعيد في الامتياز الموجودة في الأداة المساعدة wsreset.exe لأغراض أخرى ، مثل  تجاوز UAC .

هذه ليست سوى بعض الأمثلة على الأذونات التي لم يتم التحقق منها على ملفات النظام الأساسية التي يمكن أن تساعد الخصوم في التحليق تحت الرادار أثناء اختراق الأنظمة.