SIKKERHET

Den innebygde ransomware-beskyttelsen i Windows 10 kan enkelt omgås

Bruker Microsoft Office som portåpner.

Controlled Folder Access i Windows 10 er i utgangspunktet en god idé, men den har fortsatt betydelige svakheter.
Controlled Folder Access i Windows 10 er i utgangspunktet en god idé, men den har fortsatt betydelige svakheter. Bilde: Microsoft. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
7. feb. 2018 - 12:41

Med den nyeste høstutgaven av Windows 10 kom det et verktøy som skal kunne hindre utpressingsvare (ransomware) i å kryptere dokumenter, bilder og andre viktige filer på systemet. Løsningen kalles for Controlled Folder Access (CFA). På norsk heter funksjonen Kontrollert mappetilgang. 

Men nå viser det seg at CFA relativt enkelt kan omgås.

Les vår omtale her: Skru på den nye beskyttelsen mot ransomware i Windows 10

Et godt utgangspunkt

Det CFA gjør, er å kontrollere hvilke programmer som får lov til å opprette eller skrive over filer som er lagret utvalgte mapper på systemet, inkludert Dokumenter, Bilder, Musikk og Videoer. 

Når funksjonen er aktivert, vil bare velkjente eller brukervalgte applikasjoner kunne endre på filene som ligger i de mappene som beskyttes av funksjonaliteten. Dersom annen programvare forsøker å gjøre endringer, blir brukeren varslet om dette og kan velge å legge programvaren til listen over godkjente applikasjoner. 

Dermed vil ikke skadevare kunne kryptere disse filene uten at brukeren først godkjenner at skadevaren får skrivetilgang til de aktuelle mappene. 

Office som portåpner

Microsoft Office-applikasjonene er blant programvaren som er forhåndsvalgt av Microsoft i CFA. Det vil si at Office-applikasjonene i de fleste tilfeller vil ha skrivetilgang til de CFA-beskyttede mappene. 

Dette kan utnyttes av utpressingsvare, noe sikkerhetsforskeren Yago Jesus hos SecurityByDefault har oppdaget. Dette skriver Bleeping Computer.

Så lenge Microsoft Office er installert på pc-en, kan skadevare få for eksempel Word til å gjøre de ønskede endringene, for eksempel å kryptere dokumentene med den innebygde krypteringsfunksjonen i Office, eller rett og slett å slette dem. 

Python-skript

I dette blogginnlegget har Jesus publisert til en enkelt Python-skript som passordbeskytter et angitt Word-dokument. Men metoden skal kunne brukes til å modifisere alle filtyper som Office har støtte for, inkludert PDF-dokumenter og bildefiler.

Selv om det er brukt Python i eksempelet, noe som ikke uten videre kan kjøres i Windows, er det ingenting som tyder på at metoden ikke også vil fungere i skadevare basert på andre språk. Dette gjelder kanskje også fra ondsinnede Office-dokumenter. 

For øvrig vurderer Microsoft et forslag om å gjøre Python til et offisielt skriptspråk i Excel. Om det blir noe av, er derimot uvisst.

Jesus har varslet Microsoft om oppdagelsen, men selskapet klassifiserer den ikke som en sikkerhetsfeil. I en epost til Jesus opplyser selskapet at det likevel vil ta hensyn til svakheten gjennom en framtidig oppdatering av CFA.

Jesus er uenig i den avgjørelsen og påpeker dessuten at Microsoft vil rette feilen uten å kreditere ham for oppdagelsen. 

Les også: – Python er etter min mening blant de mest effektive språkene i utviklertid (Digi ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.