研究人員利用應用程式路徑繞過Windows 10中的UAC機制

3月22日訊 安全專家matt nelson已經設計出一種最新方法，能夠利用應用程式路徑(app paths)順利繞過windows 10系統上的使用者帳戶控制(簡稱uac)機制。

這位研究人員詳細介紹了一種與此前方案完全不同的旁路技術，項此項新方法“不依賴于ifileoperation/dll劫持機制”。

nelson在他發表的一篇博文中表示，“我之前曾在博文中提到過兩項其它旁路技術，而本篇文章則着重介紹一種不依賴于ifileoperation/ell劫持的替代性方法。這項技術适用于windows 10 build 15031，其中絕大部分已經公布的旁路漏洞皆已得到修複。”

這位專家解釋稱，微軟的這款作業系統當中包含幾個簽名二進制檔案，且可通過清單實作自動權限提升。nelson對其進行了分析，并最終将着眼點集中在sdclt.exe身上——此檔案與windows中的備份與恢複工具有所關聯。

他發現sdclt.exe的這一自動權限提升特性皆适用于windows 10版本。

此sdclt.exe檔案會啟動control.exe以在高完整性上下文中打開一個控制台條目，該程序通過在hkey_current_user 配置單元中查詢其app path鍵的方式擷取指向control.exe路徑。

nelson解釋稱：

“在對執行過程進行重新觀察後，我發現sdclt.exe會立足hkey_current_user hive配置單元之内查詢control.exe的app path鍵。”

“立足高完整性程序調用hkey_current_user（或者簡稱hkcu）的過程非常有趣。其通常意味着将有一個經過權限提升的程序同某個可由中等完整性程序進行篡改的系統資料庫位置進行互動，”

如此一來，攻擊者即可修改這項由sdclt.exe查詢進行檢索的鍵，并管理cmd.exe以傳回查詢結果。

研究人員利用應用程式路徑繞過windows 10中的uac機制-e安全

這種方法不可配合參考使用。是以在實際攻擊當中，惡意人士需要将該惡意載荷加載至磁盤之上。

nelson進一步補充稱，“如果大家嘗試為該二進制檔案添加任何參數（例如c:windowssystem32cmd.exe /c calc.exe），其将把整條字元串解釋為shellexecuteinfo結構的ipfile值，而後将其傳遞給shellexecuteex。由于此項值并不存在，是以操作無法執行。”

這位專家還釋出了一套概念驗證腳本以示範此方法，并解釋稱大家可以通過将uac級别設定為“始終通知”或者立足本地管理者組内對目前使用者加以删除的方式防止此類攻擊。

本文轉自d1net（轉載）