L'outil légitime de Windows peut être utilisé pour désactiver l'antivirus

0

[ad_1]

Un chercheur a découvert qu'un outil légitime de Windows appelé « wsresest » pouvait être utilisé pour supprimer les fichiers souhaités avec les privilèges utilisateur de base et aussi contourner protections antivirus dans le système hôte. Le «wsreset» est un outil utilisé par Windows pour effacer les fichiers cache et cookies du Windows Store, comme dans un processus de dépannage. Mais le peaufiner avec une technique de jonction de fichiers peut aider un attaquant à désactiver un logiciel antivirus.

Les pirates peuvent désactiver l'antivirus à l'aide d'un outil Windows

Tel que décrit par Daniel Gebert et suivi de BleepingComputer, «wsreset» est un outil légitime dans Microsoft Windows qui peut être utilisé pour supprimer les fichiers dans le dossier Cache et cookies du Windows Store. Le Windows Store stocke ces fichiers dans les chemins ci-dessous:

% UserProfile% AppData Local Packages Microsoft.WindowsStore_8wekyb3d8bbwe AC INetCache

% UserProfile% AppData Local Packages Microsoft.WindowsStore_8wekyb3d8bbwe AC INetCookies

Comme Gebert a trouvé que cet outil peut réinitialiser les fichiers de ces dossiers, il essayé de diriger cet outil vers un autre dossier de fichiers en utilisant la «jonction de dossiers», qui est un concept similaire aux liens symboliques. Lier ce dossier souhaité au chemin ci-dessus permettrait à l'outil «wsreset» de supprimer les fichiers dans ce dossier ultime. En partant de cette hypothèse, Gebert a d'abord supprimé les fichiers dans les fichiers du dossier «INet», puis les a liés à «etc» en tant que

«C: Windows System32 drivers etc» Le dossier «etc» est ici ayant des fichiers qui ne peuvent pas être supprimés par quiconque disposant de privilèges de base, nécessitent donc un compte administrateur. Mais l'outil «wsreset» contourne cette barrière pour même supprimer des fichiers tels que les dossiers.

Après avoir réalisé que «wsreset» est capable de supprimer même ces fichiers dans le dossier «etc», Gebert a finalement lié ce chemin à un antivirus fichiers de configuration du logiciel. Ici, il a pris l’exemple du logiciel Adaware, qui détruit ses fichiers dans

«C: ProgramData adaware adaware antivirus». Alors que les utilisateurs réguliers ne peuvent pas modifier ou supprimer les fichiers dans les fichiers de configuration d'Adaware, «wsreset» a contourné cette restriction avec tous les privilèges et a supprimé ces fichiers comme prévu. Ainsi, rendant l'antivirus désactivé.

Via: BleepingComputer

[ad_2]

Leave A Reply

Your email address will not be published.