3月22日訊 安全專家Matt Nelson已經(jīng)設計出一種最新方法,能夠利用應用程序路徑(App Paths)順利繞過Windows 10系統(tǒng)上的用戶帳戶控制(簡稱UAC)機制。
這位研究人員詳細介紹了一種與此前方案完全不同的旁路技術,項此項新方法“不依賴于IFileOperation/DLL劫持機制”。
Nelson在他發(fā)表的一篇博文中表示,“我之前曾在博文中提到過兩項其它旁路技術,而本篇文章則著重介紹一種不依賴于IFileOperation/ELL劫持的替代性方法。這項技術適用于Windows 10 build 15031,其中絕大部分已經(jīng)公布的旁路漏洞皆已得到修復。”
這位專家解釋稱,微軟的這款操作系統(tǒng)當中包含幾個簽名二進制文件,且可通過清單實現(xiàn)自動權限提升。Nelson對其進行了分析,并最終將著眼點集中在sdclt.exe身上——此文件與Windows中的備份與恢復工具有所關聯(lián)。
他發(fā)現(xiàn)sdclt.exe的這一自動權限提升特性皆適用于Windows 10版本。
此sdclt.exe文件會啟動control.exe以在高完整性上下文中打開一個控制面板條目,該進程通過在HKEY_CURRENT_USER 配置單元中查詢其App Path鍵的方式獲取指向control.exe路徑。
Nelson解釋稱:
“在對執(zhí)行過程進行重新觀察后,我發(fā)現(xiàn)sdclt.exe會立足HKEY_CURRENT_USER hive配置單元之內(nèi)查詢control.exe的App Path鍵。”
“立足高完整性進程調(diào)用HKEY_CURRENT_USER(或者簡稱HKCU)的過程非常有趣。其通常意味著將有一個經(jīng)過權限提升的進程同某個可由中等完整性進程進行篡改的注冊表位置進行交互,”
如此一來,攻擊者即可修改這項由sdclt.exe查詢進行檢索的鍵,并管理cmd.exe以返回查詢結果。
這種方法不可配合參考使用。因此在實際攻擊當中,惡意人士需要將該惡意載荷加載至磁盤之上。
Nelson進一步補充稱,“如果大家嘗試為該二進制文件添加任何參數(shù)(例如C:WindowsSystem32cmd.exe /c calc.exe),其將把整條字符串解釋為ShellExecuteInfo結構的IpFile值,而后將其傳遞給ShellExecuteEx。由于此項值并不存在,所以操作無法執(zhí)行。”這位專家還發(fā)布了一套概念驗證腳本以演示此方法,并解釋稱大家可以通過將UAC級別設置為“始終通知”或者立足本地管理員組內(nèi)對當前用戶加以刪除的方式防止此類攻擊。