Исследователь в области безопасности Мэтт Нельсон (Matt Nelson) подробно описал метод обхода контроля учетных записей (UAC) в Windows 10, при котором используется ключ в реестре App Paths.
В течение последних нескольких месяцев Нельсон подробно описывал другие методы обхода UAC, в их число входил метод, при котором использовалась программа просмотра событий (Event Viewer) и метод, использующий утилиту очистки диска. Первый способ был использован в атаках, распространяющих вредоносные программы Remos RAT и Erebus.
Теперь исследователь еще один метод обхода, который работает только в Windows 10. По словам Нельсона, Microsoft сосредоточилась на решении проблем, связанных с ранее раскрытыми методами обхода, а новый работает в Windows 10 build 15031.
Поскольку подписанные Microsoft бинарные файлы автоматически повышаются в привилегиях, исследователь решил более внимательно изучить этот механизм и обнаружил проблему в sdclt.exe, который относится к инструменту резервного копирования и восстановления системы компьютера в Windows. Как оказалось, sdclt.exe автоматически повышается в привилегиях, но только в Windows 10 (в Windows 7 есть механизим, предотвращающий это).
Как оказалось, sdclt.exe запускает control.exe, чтобы открыть элемент панели управления, исследователь обнаружил, что процесс получает путь к control.exe, запрашивая ключ App Path для него в HKEY_CURRENT_USER.
«Вызовы HKEY_CURRENT_USER (или HKCU) особенно интересны. Это часто означает, что процесс с повышенными привилегиями взаимодействует с местом реестра и туда может вторгнуться процесс со средними привилегиями» - говорит Нельсон.
Если поиск полного пути control.exe не возвращает инфолрмацию из HKCU, sdclt.exe продолжает типичный порядок поиска Windows. Однако злоумышленник может использовать эту схему, чтобы запросом sdclt.exe модифицировать ключ .
Эксперт отмечает, что этот метод подразумевает, что злоумышленник должен поместить вредоносный файл на диск, чтобы запустить его с повышенными привилегиями. Нельсон также опубликовал скрипт на GitHub, демонстрирующий атаку с использованием этого метода обхода.
«Скрипт получает полный путь к предполагаемому вредоносу, в нашем случае это будет C:\Windows\System32\cmd.exe, автоматически добавит ключи и запустит sdclt.exe» - объясняет исследователь.
Хамовнический суд Москвы признал запрещенной публикуемую в мессенджерах информацию о возможности изменения голоса во время звонков. Телеграм-боты, предлагающие такие услуги, подлежат блокировке на территории РФ.
Решение принято судом по ходатайству прокуратуры, поданному в защиту неопределенного круга лиц. Ответчику (Роскомнадзору) предписано ограничить доступ к ресурсам Telegram, нарушающим российское законодательство.
Суд установил, что публичный доступ к таким ресурсам повышает риск их использования в нарушение российских законов о связи, противодействии терроризму и экстремистской деятельности. Кроме того, доступность услуг по подмене голоса провоцирует мошенничество, с которым российские власти усиленно борются.
Особенно опасны в этом плане дипфейки. В прошлом году из-за использования злоумышленниками ИИ-технологий число атак с применением дипфейков, по данным экспертов МТС, измерялось десятками тысяч.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
