Метод обхода UAC в Windows 10 позволяет установить вредоносное приложение

Студент из Германии, известный в Сети как Кристиан Б. (Christian B), обнаружил новый метод обхода функции Контроля учетных записей в Windows (UAC), позволяющий установить на системе вредоносное приложение. Описанный исследователем метод является вариацией способа обхода UAC, представленного экспертом Мэттом Нелсоном (Matt Nelson) в августе минувшего года.

В то время как техника Нелсона основана на использовании программы Event Viewer (eventvwr.exe), предназначенной для удаленного или локального просмотра журнала событий, новый метод задействует файл fodhelper.exe (управление опциональными функциями в Windows 10).

Оба метода эксплуатируют принцип автоматического повышения привилегий, действующего для различных доверенных файлов Microsoft. Поскольку fodhelper.exe является доверенным файлом, при его исполнении Windows 10 не будет отображать окно UAC.

Исследователь обнаружил, что при исполнении fodhelper.exe Windows обращается к двум ключам реестра для дополнительных команд. Отредактировав значение одного из ключей (HKCU:\Software\Classes\ms-settings\shell\open\command\(default), эксперт смог внедрить команды, исполняющиеся с повышенными правами в контексте процесса fodhelper.exe.

Как отмечается, данная техника может эксплуатироваться вредоносным ПО на зараженных компьютерах. К примеру, вредонос может использовать скрипты для редактирования значения ключа реестра, внедрить вредоносные команды и запустить файл fodhelper.exe, который прочитает и исполнит их без ведома пользователя.

Вышеописанный метод был протестирован на компьютере под управлением Windows 10.0.15063 и не требует подключения вредоносной DLL-библиотеки или внедрения файла на диск. Исследователь опубликовал PoC-код атаки на GitHub.

Контроль учетных записей пользователей (User Account Control, UAC) - функция Windows, позволяющая предотвратить несанкционированные изменения в ОС. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных действий или при изменении параметров, которые могут оказать влияние на работу других пользователей.