Исследователь Мэтт Нельсон (Matt Nelson) уже не в первый раз находит новые пути обхода User Account Control (UAC) в Windows. Так, ранее он предлагал использовать для этого Event Viewer и утилиту Disk Cleanup. При этом методики, предложенные Нельсоном, оценили даже киберпреступники, к примеру, позаимствовав их для работы Remcos RAT и шифровальщика Erebus.

Теперь Нельсон обнаружил еще один способ обхода UAC, который работает только для Windows 10. По словам исследователя, разработчики Microsoft пытались устранить проблемы, которые позволяли обойти UAC. Хотя большинство таких уязвимостей были успешно исправлены в Windows 10 build 15031, в релизе «представили» и новую проблему.

Нельсон пишет, что корень проблемы заключается в использовании auto-elevation, что дозволяется некоторым доверенным бинарникам. К примеру, Task Manager – это auto-elevation файл, потому как он создан и подписан Microsoft, и запускается из доверенной локации (C:\Windows\system32). То есть при запуске Task Manager окно UAC в любом случае не отображается, невзирая на настройки безопасности.

 

Исследователь обнаружил проблему в sdclt.exe (утилита Backup and Restore, представленная в Windows 7). Дело в том, что при запуске sdclt.exe, для загрузки страницы настроек Backup and Restore, используется control.exe. И прежде чем запустить control.exe, sdclt.exe обращается к реестру Windows, чтобы получить app path для control.exe, который обычно выглядит так: HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe.

По словам Нельсона, даже пользователь с низкими привилегиями может изменить ключи реестра, включая control.exe. То есть атакующий может покопаться в реестре и указать путь к малвари, а затем использовать sdclt.exe для запуска вредоноса. Так как sdclt.exe использует auto-elevation, Windows поверит приложению, «подавив» UAC.

Специалист пишет, что такой способ сработает только в Windows 10 и тестировался только на Windows 10 build 15031. Proof-of-concept Нельсон опубликовал на GitHub.



Оставить мнение