Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Представлен новый метод обхода защиты UAC в Windows 10

Представлен новый метод обхода защиты UAC в Windows 10


17.03.2017

Представлен новый метод обхода защиты UAC в Windows 10

Исследователь в сфере кибербезопасности Мэтт Нельсон (Matt Nelson) раскрыл подробности техники обхода защитного механизма ОС Windows 10, известного как User Account Control (UAC, контроль учетных записей). Новый метод предполагает модификацию прописанных путей к папкам в реестре Windows, а также использование утилиты Windows Backup And Restore (Архивация и Восстановление) для загрузки вредоносного кода.

Техника основана на принципе автоматического повышения привилегий, действующего для различных доверенных файлов. В поисках новых методов обхода UAC Нельсон решил проверить, возможно ли использовать автоэлевацию для загрузки файлов, помимо тех, что одобрены Microsoft.

 В ходе исследования Нельсон нашел лазейку в виде исполняемого файла sdclt.exe (утилита Backup And Restore, впервые представленная в Windows 7). По его словам, при запуске утилиты sdclt.exe использует control.exe (Панель управления) для загрузки контрольной панели Backup And Restore. Однако перед загрузкой control.exe процесс sdclt.exe отправляет запрос в локальный реестр Windows на указание пути к control.exe, который обычно выглядит вот так: HKCU:SoftwareMicrosoftWindowsCurrentVersionApp Pathscontrol.exe.

 Как отметил исследователь, это представляет проблему, поскольку пользователи с низкими привилегиями могут модифицировать ключи реестра, в том числе для control.exe. Таким образом, злоумышленник может изменить данный ключ реестра и использовать sdclt.exe для запуска вредоносного кода. При этом Windows не выдаст никаких предупреждений.

 Вышеописанный метод работает только на компьютерах под управлением Windows 10 и не затрагивает более ранние версии операционной системы, утверждает Нельсон. Исследователь опубликовал PoC-код атаки на GitHub.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.