Найден новый метод обхода защиты UAC в Windows 10


User Account ControlИсследователь в сфере кибербезопасности Мэтт Нельсон (Matt Nelson) обнаружил новый способ обхода защитного механизма ОС Windows 10, также известного как User Account Control (UAC, контроль учетных записей). Новый метод предполагает модификацию прописанных путей к папкам в реестре Windows, а также использование утилиты Windows Backup And Restore (Архивация и Восстановление) для загрузки вредоносного кода.

Техника основана на принципе автоматического повышения привилегий, действующего для различных доверенных файлов. Нельсон решил проверить, возможно ли использовать автоэлевацию для загрузки файлов, помимо тех, что одобрены Microsoft.

 

В ходе исследования была найдена лазейка в виде исполняемого файла sdclt.exe (утилита Backup And Restore, впервые представленная в Windows 7). По словам эксперта, при запуске утилиты sdclt.exe использует control.exe (Панель управления) для загрузки контрольной панели Backup And Restore. Однако перед загрузкой control.exe процесс sdclt.exe отправляет запрос в локальный реестр Windows на указание пути к control.exe, который обычно выглядит следующим образом:

  • HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe


Исследователь отметил, что это представляет проблему, поскольку пользователи с низкими привилегиями могут модифицировать ключи реестра, в том числе для control.exe. Таким образом, злоумышленник может изменить данный ключ реестра и использовать sdclt.exe для запуска вредоносного кода. Примечательно, однако при этом, Windows не выдает никаких предупреждений.

ВНИМАНИЕ! Вышеописанный метод работает только на компьютерах под управлением Windows 10 и не затрагивает более ранние версии операционной системы.

PoC-код атаки был опубликован на GitHub.


Обновлено (16.03.2017 22:35)