Изъян безопасности в Windows 10 UAC может изменить системные файлы и настройки

В то время как контроль доступа пользователей к Windows 10 разработана с учетом безопасности, новый метод обхода UAC обнаружил исследователь безопасности Мэтт Нельсон оказывает меры безопасности бесполезны. Взлом опирается на изменения реестр Windows, путь приложения и манипулировать резервного копирования и восстановления утилита для загрузки вредоносного кода в систему.

Как это работает

Стратегия обхода блокировки использует преимущества автоматическ-высоты от Microsoft статус, который присваивается надежные бинарные файлы, которые создаются и подписанных софтверного гиганта. Это означает, что доверенные файлы не отображаются в окне контроля учетных записей при запуске, несмотря на уровень безопасности. Нельсон также пояснил в своем блоге:

При поиске более из этих автоматическ-повышая бинарники с помощью утилиты от sysinternals “sigcheck“, я наткнулся на “sdclt.exe” и убедились, что это автоматически повышает за счет своего манифеста.

При наблюдении потока исполнения sdclt.exe становится очевидным, что этот бинарный начинается control.exe для того, чтобы открыть пункт Панель управления в высокой целостности контекста.

В sdclt.exe бинарные-это встроенная программа архивации и восстановления, которые Microsoft реализовала в Windows 7. Нельсон объяснил, что sdclt.exe файл использует Панель управления бинарных для загрузки, резервного копирования и восстановления настроек, когда пользователь открывает программу.

Рекомендуется: нажмите здесь, чтобы исправить Общие вопросы компьютер и ускорить работу системы

Однако sdclt.exe отправляет запрос в местный реестр Windows, чтобы получить control.exe’путь приложение перед загрузкой control.exe. Исследователь констатирует тот факт, что это создает проблемы как пользователей с низким уровнем привилегий все еще можете изменить ключи реестра. Более того, злоумышленники могут изменить этот раздел реестра и вредоносных программ. Windows затем доверил бы приложения и вывода запроса UAC с sdclt.exe авто-повышенный.

Стоит отметить, что метод обхода применима только к Windows 10. Нельсон даже проверили взломать на Windows 10 сборки 15031. Чтобы устранить брешь в безопасности, исследователь рекомендует пользователям установить уровень контроля учетных записей “всегда уведомлять” или удалить текущего пользователя из группы локальных Администраторов.

Список программ для ремонта компьютера, а также удаление вирусов и спама


Добавить комментарий


Защитный код
Обновить