Chociaż kontrola dostępu użytkownika dla systemu Windows 10 została zaprojektowana z myślą o bezpieczeństwie, nowa technika obejścia kontroli konta użytkownika odkryta przez badacza bezpieczeństwa Matta Nelsona sprawia, że ​​środek bezpieczeństwa jest bezużyteczny. Włamanie polega na modyfikowaniu ścieżek aplikacji rejestru systemu Windows i manipulowaniu narzędziem Kopia zapasowa i przywracanie w celu załadowania złośliwego kodu do systemu.

Jak to działa

Strategia obejścia wykorzystuje status automatycznego podniesienia uprawnień Microsoft, który jest przypisany do zaufanych plików binarnych, które są tworzone i podpisywane cyfrowo przez giganta oprogramowania. Oznacza to, że zaufane pliki binarne nie wyświetlają okna UAC po uruchomieniu pomimo poziomu bezpieczeństwa. Nelson wyjaśnił dalej na swoim blogu:

Podczas szukania większej liczby tych automatycznie podnoszonych plików binarnych za pomocą narzędzia SysInternals „sigcheck”, natknąłem się na „sdclt.exe” i zweryfikowałem, że automatycznie podnosi się ze względu na swój manifest.

Obserwując przebieg wykonywania sdclt.exe, staje się oczywiste, że ten plik binarny uruchamia plik control.exe w celu otwarcia elementu Panelu sterowania w kontekście wysokiej integralności.

Plik binarny sdclt.exe to wbudowane narzędzie do tworzenia kopii zapasowych i przywracania, które Microsoft wprowadził wraz z systemem Windows 7. Nelson wyjaśnił, że plik sdclt.exe używa pliku binarnego Panelu sterowania do załadowania strony ustawień tworzenia kopii zapasowych i przywracania, gdy użytkownik otworzy to narzędzie.

Jednak sdclt.exe wysyła zapytanie do lokalnego rejestru Windows w celu uzyskania ścieżki aplikacji control.exe przed załadowaniem control.exe. Badacz przyznaje, że stanowi to problem, ponieważ użytkownicy o niskim poziomie uprawnień nadal mogą modyfikować klucze rejestru. Co więcej, atakujący mogą zmienić ten klucz rejestru i wskazać go na złośliwe oprogramowanie. System Windows zaufałby aplikacji i wycofał monity UAC, ponieważ sdclt.exe jest automatycznie podnoszony.

Warto zauważyć, że technika obejścia ma zastosowanie tylko w systemie Windows 10. Nelson przetestował nawet hack na kompilacji Windows 10 15031. Aby rozwiązać problem luki w zabezpieczeniach, badacz zaleca, aby użytkownicy ustawili poziom kontroli konta użytkownika na „Zawsze powiadamiaj” lub usuń bieżący użytkownik z grupy Administratorzy lokalni.