Опасная уязвимость Windows UAC позволяет повысить права в системе

Олег Иванов 21 Ноября 2019 - 08:22

...

Опасная уязвимость Windows UAC позволяет повысить права в системе

Исследователи в области кибербезопасности раскрыли детали крайне опасной уязвимости в компоненте Windows UAC (User Account Control, контроль учётных записей пользователей). В случае успешной эксплуатации атакующий может повысить свои права в системе, установить программы, а также просматривать, модифицировать и удалять данные.

Для тех, кто не знает: UAC представляет собой защитную функцию Windows, оберегающую операционную систему от несанкционированных изменений. Таким образом, любая попытка установки программы или драйверов вызовет диалоговое окно, в котором пользователь должен подтвердить вносимые в ОС изменения.

Однако злоумышленник, взаимодействуя с пользовательским интерфейсом, может использовать баг для запуска браузера с самыми высокими правами в системе. Другими словами, атакующий сможет загрузить любой код или совершить другие злонамеренные действия.

«Брешь позволяет локальным злоумышленникам повысить свои права в уязвимой системе Windows. Чтобы иметь возможность использовать баг, атакующие сначала должны получить доступ к десктопу в качестве пользователя с обычными правами», — пишут специалисты Zero Day Initiative (ZDI), проанализировавшие проблему безопасности.

Сам процесс эксплуатации должен выглядеть приблизительно так: киберпреступник первым делом загружает исполняемый файл, подписанный Microsoft, с собственного вредоносного сайта. Далее следует попытка запуска файла от имени администратора, что, конечно же, вызовет диалог UAC.

После этого атакующий может нажать кнопку «Показать детали» в окне UAC и увидеть специальный идентификатор объекта (OID).

«Задача OID не до конца понятна, так как Microsoft нигде толком не описывает назначение этого идентификатора. Судя по всему, диалог парсит значение OID. Если там обнаруживаются валидные и корректно сформированные данные, система подставит их в поле "Выпущен кем" в виде гиперссылки», — объясняют исследователи.

На деле это значит, что злоумышленник сможет кликнуть гиперссылку и запустить браузер с правами NT AUTHORITY\SYSTEM. Затем открывается возможность для установки вредоносных программ, выполнения кода и прочих действий.

Представители ZDI продемонстрировали наличие проблемы на опубликованном видео, которое мы приводим ниже:

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Мая 2026 - 12:01

Общее ООО «УЦСБ»

Регистрация на IT IS conf 2026 открыта: фокус на ИИ, инцидентах и кейсах

19 июня в Екатеринбурге пройдёт IT IS conf 2026 — конференция для ИТ- и ИБ-руководителей, специалистов по кибербезопасности и представителей отрасли. Мероприятие проводится в седьмой раз и традиционно собирает участников из разных регионов России.

Организатором выступает системный интегратор УЦСБ. Конференция проходит при поддержке Министерства цифрового развития и связи Свердловской области.

В этом году программа сделана с упором на дискуссии, практические кейсы и разбор спорных вопросов, а не на классические доклады в одну сторону.

Участники будут обсуждать состояние ИТ- и ИБ-рынка, реальные инциденты, роль искусственного интеллекта в атаках и защите, безопасную разработку, Identity, новые регуляторные требования и другие темы.

В программе заявлены пленарная сессия «Эпоха постоптимизма: что на самом деле происходит с отраслью», киберпоединок о спорных вопросах ИБ, круглый стол про ИИ на стороне атакующих, практикум с разбором инцидентов, экспресс-доклады и «Своя игра» по ИТ и кибербезопасности.

Отдельно на площадке будет работать выставка российских ИТ- и ИБ-решений. Участники смогут посмотреть продукты в действии и пообщаться с представителями компаний.

Конференция пройдёт по адресу: Екатеринбург, ул. Бебеля, 59. Также будет доступна онлайн-трансляция. Регистрация уже открыта на сайте IT IS conf 2026.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!