新的Windows 10勒索软件威胁吗?检查有关“可能无法阻止”漏洞的声明

 
安全公司Nyotron最近宣布，它在Microsoft Windows 10中发现了一个新漏洞，可用于勒索软件攻击。 Nyotron发布了所谓的“潜在不可阻止”技术的详细信息，该技术绕过了Windows 10内置的针对勒索软件的保护措施，即接管计算机并要求付费以返回控制权的做法。
Nyotron说，该技术称为“ RIPlace”，可用于允许勒索软件绕过Windows 10中的“受控文件夹访问”(CFA)。您可以在此处查看其视频演示：
Nyotron专注于端点安全，专注于最终用户设备及其连接的网络。 Nyotron并不是漏洞报告的定期撰稿人，但这一说法听起来可能很严重，并且鉴于端点安全性的重要性，我决定更深入地研究，与Nyotron和Microsoft进行交谈，以更好地理解此问题。
简而言之，尽管我不同意Nyotron的说法，即该漏洞，但该公司发现了安全领域的人们应该知道的问题。幸运的是，Nyotron和Microsoft都同意，这不是主动攻击中普遍存在的现象，至少现在还没有。
背景
受控文件夹访问是Microsoft于2017年10月引入Windows 10的功能。众所周知，CFA为通常被勒索软件加密的文件提供了额外的安全层。
CFA通过添加其他监控来检测试图对其正在查看的目录中的文件进行加密的尝试来做到这一点。由于加密是勒索软件攻击的关键技术，因此这是一种可以成功防止勒索软件攻击的合理对策。
CFA背后的想法很简单：如果您没有阻止恶意软件在系统上执行，例如，由于用户选择绕过安全警告并运行可执行文件，CFA至少可以通过阻止勒索软件的主要功能来提供保护：加密密钥文件。
CFA是可配置的，因此您可以包括您选择的文件夹。 CFA具有使用组策略，PowerShell，System Center Configuration Manager(SCCM)和移动设备管理(MDM)工具为企业进行配置的功能。
根据Microsoft有关CFA及其行为的文档，必须注意CFA是一种“纵深防御”(DiD)措施。这意味着它本身并不是主要的安全屏障，而是在其他安全屏障失效时提供额外的保护。您可以将DiD措施视为类似于安全带的措施。它们并不是要防止崩溃。但是，它们的目的是使崩溃在发生时不那么严重。
安全障碍和DiD措施之间的区别很重要，我们稍后将再次讨论。
在上方的Nyotron演示中，您可以看到一种绕过“受控文件夹访问”的技术。该演示首先显示受CFA保护的目录。它显示目录的文件已被CFA成功保护，免受恶意软件加密。然后，它显示了另一种攻击，其中CFA保护不成功并且文件已加密。
Nyotron在白皮书中提供了更多详细信息，包括此流程图，该流程图有助于显示更多后台发生的事情。
Nyotron图片
此流程图显示了一个非常具体的实例，其中CFA似乎不起作用。具体来说，在“ RIPlace”技术中，恶意代码将文件替换为其加密版本，而不是先删除文件。根据与Nyotron的对话，这种情况是由于CFA监视文件以保护文件的方式错误而发生的。要详细了解技术细节，使用DefineDosDevice时传递DosDevice路径会出错。 DefineDosDevice是旧版函数(还记得DOS吗?)。 Microsoft在创建过滤器驱动程序时似乎正在使用此驱动程序，作为进行CFA的额外检查和处理的一部分。
Nyotron报告的另一个要点是：此问题发生在特权帐户受限的情况下。换句话说，此问题不需要管理权限即可工作。
简而言之，CFA中存在一个错误，该错误会阻止其防止文件被替换。
我询问了Nyotron，是否已经看到它在任何攻击中都被使用过，公司发言人表示并没有。
至于微软的官方回应，这是发言人的话：“此技术不是安全问题，不符合我们的安全服务标准的条件。受控的文件夹访问是可选的深度防御功能，而不是安全边界。”
Microsoft表示它可能会在将来的版本中解决该问题，这与其实践是一致的。并且，考虑到我们正在谈论的是来自遗留功能的问题，这是合理的：较旧的代码具有更多未知的依赖性，并且在对遗留功能进行任何更改时都必须进行大量测试。在更新中始终存在固有的稳定性风险，并且必须将风险与问题所带来的安全风险相平衡。当您触摸这样的较旧的较低级别的代码时，这种风险就会增加。
Nyotron和Microsoft都同意不会积极使用此问题。这是支持长期修复的另一点。如上所述，对遗留代码的更改可能会带来风险，并导致稳定性问题(例如崩溃)。您不希望通过应用导致实际崩溃的更新来防范潜在的安全风险：您只是将一个问题换成了另一个。并且在这种情况下，治愈变得比治愈的原因更加危险。
当然，威胁环境可以改变。而且，如果这项技术被采用并得到更广泛的使用，Microsoft可以采取行动更快地解决它。
通常情况下，漏洞报告不会被删除。这就是其中一种情况。是的，有问题。微软还没有修复它。不，目前尚未使用。是的，将来可以使用。是的，Nyotron今天提供一种解决方案。也许(可能是)微软将来会解决这个问题。
在Microsoft解决此问题之前，运行Windows 10的公司必须进行您自己的风险评估。我要说的最后一件事是重申，这是一种DiD措施，只要您的系统上没有勒索软件就不会成为问题。勒索软件作者非常有创造力，即使没有这个问题，他们也可以并且将找到绕过这种DiD措施的方法。
如果您担心勒索软件，我的建议是首先花费时间在可靠的备份和恢复程序上，以便在遭受勒索软件攻击时可以恢复到攻击前的状态。勒索软件兴起已有五年多了，这仍然是针对此类攻击的最有效且行之有效的补救措施。