Новый метод обхода UAC в Windows позволяет выполнить код на системе

Менее чем через месяц после обнародования уязвимости, связанной с обходом функции Контроля учетных записей в Windows, исследователь Мэтт Нелсон (Matt Nelson) опубликовал подробности нового метода обхода UAC, позволяющего выполнить произвольный код на целевой системе. В отличие от остальных подобных техник, метод Нелсона работает без необходимости использования копии файла с привилегиями, внедрения кода или файла на диск.

В этот раз проблема связана с программой Event Viewer (eventvwr.exe), предназначенной для удаленного или локального просмотра журнала событий. Нельсон обнаружил способ использовать eventvwr.exe для подмены файлов реестра Windows, запуска PowerShell и выполнения произвольного кода на системе. Совместно с исследователем Мэттом Гребером (Matt Graeber) Нелсон разработал PoC-код, который был протестирован на компьютерах под управлением Windows 7 и 10. По словам эксперта, эксплоит будет работать на любой версии ОС, поддерживающей функцию UAC. PoC-код опубликован на портале GitHub.

«Данная атака позволяет пользователю с правами администратора выполнить код в контексте процесса высокого уровня целостности без необходимости подтверждения действия пользователем. По сути, атакующий может выполнять действия с правами локального администратора без каких-либо ограничений», - пояснил Нелсон.

Исследователь заметил, что eventvwr.exe как процесс с высоким уровнем целостности запрашивает разделы HKCU и HKCR для запуска mmc.exe (Консоль управления Microsoft). Последний, в свою очередь, открывает файл eventvwr.msc (просмотр событий). На основе данной информации Нелсон создал структуру реестра, позволяющую eventvwr.exe запросить HKCU вместо HKCR. Далее эксперт заменил исполняемый файл в значении Default в HKCR\mscfile\shell\open\command файлом powershell.exe. Таким образом Нелсону удалось запустить скрипт PowerShell как процесс с высоким уровнем целостности.

Поскольку существует возможность подмены процесса, злоумышленник может выполнить любой вредоносный скрипт PowerShell без необходимости сбрасывания DLL или других файлов в файловую систему, что существенно снижает риск обнаружения антивирусными решениями, отметил Нелсон.

Мэтт Нелсон проинформировал специалистов Microsoft об уязвимости, однако в компании ответили, что механизм Контроля учетных записей не относится к функциям безопасности. В настоящее время не ясно, собирается ли техногигант выпускать исправление проблемы.