“wsreset” เครื่องมือบน Windows 10 Store ช่วยให้ผู้โจมตี Bypass โปรแกรมป้องกันไวรัส

Windows Store

Daniel Gebert นักวิจัยระบบด้านความปลอดภัยได้เปิดเผยการค้นพบเทคนิคใหม่ที่ใช้ประโยชน์จากเครื่องมือบน Windows 10 Microsoft Store ที่เรียกว่า “wsreset.exe” ซึ่งจะสามารถช่วยผู้โจมตีทำการ Bypass โปรแกรมป้องกันไวรัสโดยไม่ถูกตรวจจับ

Gebert กล่าวว่า “wsreset.exe” เป็นเครื่องมือที่จะช่วยผู้ใช้ทำการแก้ไขปัญหาที่เกิดขึ้นบนระบบปฏิบัติการ ซึ่ง “wsreset.exe” นั้นสามารถใช้ลบไฟล์ได้โดยไม่ต้องขอรับการอนุญาติและสามารถรีเซ็ตแคชได้ นอกจากนี้ “wsreset.exe” ยังสามารถทำงานด้วยสิทธ์ที่ถูกยกระดับเพราะต้องทำงานในส่วนของ Windows setting ซึ่งจะช่วยให้ผู้โจมตีสามารถทำการลบไฟล์ใดๆ ก็ตามถึงเเม้ว่าจะไม่มีสิทธ์

Gebert ได้ทำการทดสอบการ Bypass โปรแกรมป้องกันไวรัสกับ Adaware antivirus พบว่าเมื่อเขาทำการสร้างโฟลเดอร์ \INetCookies และทำการชี้ไปยังโฟลเดอร์ที่เก็บไฟล์ของ Adaware antivirus จากนั้นเขาทำการเรียกใช้ “wsreset.exe” ปรากฏว่าไฟล์การตั้งค่าและตรวจจับของ Adaware antivirus นั้นถูกลบไป จึงทำให้กระบวนการการทำงานของ Adaware antivirus หยุดการทำงานและเมื่อทำการรีสตาร์ทเครื่องพบว่า Adaware antivirus ยังรันโปรเเกรมอยู่เเต่การป้องกันไวรัสถูกปิดการใช้งาน

Gebert กล่าวอีกว่าช่องโหว่การเพิ่มระดับสิทธิ์นี้มีอยู่ในยูทิลิตี wsreset.exe สามารถถูกใช้เพื่อวัตถุประสงค์อื่นได้เช่นทำการ Bypass UAC ส่วนของการป้องกันนั้นคงต้องรอทาง Microsoft ทำการออกเเพตซ์เพื่อเเก้ไขช่องโหว่ต่อไป

ที่มา: bleepingcomputer.com