Windows中內(nèi)建的事件查看器程序,可被用于欺騙繞過Windows 7/10系統(tǒng)的用戶賬戶控制(UAC)這一安全功能。發(fā)現(xiàn)這一問題的安全研究人員Natt Nelson和Matt Graeber,已于7月底詳細披露了另一款可被用于繞過Windows UAC的應用程序(Windows 10磁盤清理工具),兩者僅在技術實現(xiàn)上有所區(qū)別。
根據(jù)此前的報道,借助Windows 10磁盤清理工具的高權限,惡意攻擊者可以將DLL(動態(tài)鏈接庫)文件拷貝到一個不安全的位置。由于不被UAC所標識,其能夠發(fā)起DLL劫持式攻擊。
而在今天發(fā)布的報告中,兩名研究人員結合了無需向文件系統(tǒng)拖動和注入DLL文件的兩種方法:這涉及錯綜復雜的Windows注冊表鍵值,最終可被事件查看器進程(eventvwr.exe)所查詢,觸發(fā)一個高完整性進程的隱藏操作——比如可被UAC所允許通過的事件查看器(被誤以為是一種無害的操作)。
當然,這種類型的UAC迂回攻擊是有方法阻止的。兩名研究人員稱,這是一種獨特的、此前從未見過的繞過UAC的技術(此前多依賴于進程劫持、特權文件復制、或刪除用戶PC上的文件)。
如果將UAC級別設置為“始終通知”、或者將當前用戶移出“本地管理員”群組,那這類攻擊都可被UAC所提醒。
此外,如需監(jiān)測此類攻擊,也可利用簽名方法來查找/警示新的注冊表條目(特別是在 HKCUSoftwareClasses 下面)。
微軟并非將UAC當做是一個“真正的安全特性”,但惡意軟件開發(fā)者們顯然都希望不觸發(fā)提示,以便靜悄悄地潛伏進入受害者的PC。
京公網(wǎng)安備 11010502049343號