Столь хороший, как оборонительный механизм User Account Control (UAC) для пользователей Windows против действий, требующих привилегий администратора, пользователи могут быть обмануты, чтобы управлять приложением с поднятыми правами, не вызывая подозрения.

Исследователи в компании по обеспечению безопасности Cylance разработали вредоносное программное обеспечение доказательства понятия, которое может достигнуть этого с помощью Windows Command Prompt (cmd.exe) и Редактор реестра (regedit.exe), хотя список программ может быть расширен.

Центр был на этих двух утилитах из-за их важности на системе, поскольку они предназначены для управления продвинутыми административными функциями, или для изменяют параметры настройки операционной системы.

Пользователь должен согласиться на запрос UAC

Вредоносное программное обеспечение, созданное Cylance, было дублировано ShameOnUAC, и это состоит в обманывании Информации по применению (Appinfo) служба, которая ответственна за разрешение программ быть начатой с привилегиями администратора, запустить программное обеспечение с произвольными аргументами.

Каждый раз, когда программа просит поднятые права, запрос передан в Appinfo, который вызывает UAC, быстрый на рабочем столе. Пользователи тогда должны явно позволить действию продолжаться.

В сообщении в блоге на этой неделе, Дерек Соедер объясняет, что процедура полагается на впрыскивание ShameOnUAC в непривилегированный процесс explorer.exe и вербует AicLaunchAdminProcess, бывший нацеленный на Командную строку и Редактор реестра.

Это тогда ждет пользователя, чтобы начать одну из двух целей с административными правами и изменяет запрос, прежде чем это достигнет обслуживания Appinfo, добавляя произвольные аргументы, такие как выполнение команды, выбранной нападавшим.

Если пользователь одобряет сообщение UAC, эскалация привилегии достигнута актером угрозы.

Сюжет утолщает в случае Редактора реестра

С редактором реестра, однако, ShamOnUAC может увеличивать свою власть на компьютере вне администратора, к СИСТЕМЕ, используемой процессами Windows и услугами.

“Поддержанные аргументы Реджедита естественно включают регистрацию, таким образом, ShameOnUAC заставляет Regedit тихо устанавливать .reg файл через 'аргумент '/. Если бы это было степенью его, пользователь никогда не получал бы их ожидаемое окно Regedit и мог бы задаться вопросом, что произошло. Решение ShameOnUAC состоит в том, чтобы заставить .reg файл регистрировать библиотеку в AppInit_DLLs и затем выпускать второй запрос возвышения”, говорит Соедер.

Он добавляет, что запрос вызывает новый процесс consent.exe, который выполнен с СИСТЕМНЫМИ привилегиями и загружает библиотеку ShameOnUAC, прежде чем пользователь доберется, чтобы видеть любое предупреждение. В следующем шаге изменены параметры для тревоги, и сообщение UAC полностью подавлено.

Есть способ предотвратить такие низкие действия, тем не менее, и он полагается на пользователя, проверяющего детали в быстрый UAC. Однако эта реакция далека от того, чтобы быть частью регулярного поведения, когда UAC показывают.

Soeder указывает, что ShameOnUAC добавляет к списку уловок, которые могут играться на UAC, ссылаясь на предыдущую работу от исследователя безопасности Роба Фуллера.