Windows 10のユーザーアクセス制御はセキュリティを念頭に置いて設計されていますが、セキュリティ研究者のMatt Nelsonが発見した新しいUACバイパス技術は、セキュリティ対策を役に立たなくします。 このハッキングは、Windowsレジストリアプリのパスを変更し、バックアップと復元ユーティリティを操作して悪意のあるコードをシステムに読み込むことに依存しています。

使い方

バイパス戦略は、ソフトウェアの巨人によって作成およびデジタル署名された信頼できるバイナリに割り当てられたマイクロソフトの自動昇格ステータスを利用します。 つまり、セキュリティレベルに関係なく、信頼できるバイナリは起動時にUACウィンドウを表示しません。 ネルソンはさらにブログで次のように説明しています。

SysInternalsツール「sigcheck」を使用してこれらの自動昇格バイナリをさらに検索しているときに、「sdclt.exe」に出会い、マニフェストによって自動昇格することを確認しました。

sdclt.exeの実行フローを観察すると、このバイナリが高整合性コンテキストでコントロールパネル項目を開くためにcontrol.exeを起動することが明らかになります。

sdclt.exeバイナリは、MicrosoftがWindows 7で導入した組み込みのバックアップと復元ユーティリティです。ネルソンは、sdclt.exeファイルはコントロールパネルのバイナリを使用して、ユーザーがユーティリティを開いたときにバックアップと復元設定ページを読み込むと説明しました。

ただし、sdclt.exeは、ローカルのWindowsレジストリにクエリを送信して、control.exeを読み込む前にcontrol.exeのアプリパスを取得します。 研究者は、権限レベルが低いユーザーでもレジストリキーを変更できるため、これが問題になることを認めています。 さらに重要なことに、攻撃者はこのレジストリキーを変更し、マルウェアを指すことができます。 sdclt.exeは自動昇格されるため、Windowsはアプリを信頼し、UACプロンプトを取り消します。

バイパス手法はWindows 10のみに適用されることを指摘する価値があります。NelsonはWindows 10ビルド15031でハックをテストしました。セキュリティ上の欠陥に対処するため、研究者はUACレベルを「常に通知」に設定するか、現在のローカル管理者グループのユーザー。