Новый метод обхода UAC в Windows позволяет выполнить код на системе

Эксперт обнаружил способ использовать eventvwr.exe для подмены файлов реестра Windows, запуска PowerShell и выполнения кода на системе.
Менее чем через месяц после обнародования уязвимости, связанной с обходом функции Контроля учетных записей в Windows, исследователь Мэтт Нелсон (Matt Nelson) опубликовал подробности нового метода обхода UAC, позволяющего выполнить произвольный код на целевой системе. В отличие от остальных подобных техник, метод Нелсона работает без необходимости использования копии файла с привилегиями, внедрения кода или файла на диск.
В этот раз проблема связана с программой Event Viewer (eventvwr.exe), предназначенной для удаленного или локального просмотра журнала событий. Нельсон обнаружил способ использовать eventvwr.exe для подмены файлов реестра Windows, запуска PowerShell и выполнения произвольного кода на системе. Совместно с исследователем Мэттом Гребером (Matt Graeber) Нелсон разработал PoC-код, который был протестирован на компьютерах под управлением Windows 7 и 10. По словам эксперта, эксплоит будет работать на любой версии ОС, поддерживающей функцию UAC. PoC-код опубликован на портале GitHub.
«Данная атака позволяет пользователю с правами администратора выполнить код в контексте процесса высокого уровня целостности без необходимости подтверждения действия пользователем. По сути, атакующий может выполнять действия с правами локального администратора без каких-либо ограничений», - пояснил Нелсон.
Исследователь заметил, что eventvwr.exe как процесс с высоким уровнем целостности запрашивает разделы HKCU и HKCR для запуска mmc.exe (Консоль управления Microsoft). Последний, в свою очередь, открывает файл eventvwr.msc (просмотр событий). На основе данной информации Нелсон создал структуру реестра, позволяющую eventvwr.exe запросить HKCU вместо HKCR. Далее эксперт заменил исполняемый файл в значении Default в HKCR\mscfile\shell\open\command файлом powershell.exe. Таким образом Нелсону удалось запустить скрипт PowerShell как процесс с высоким уровнем целостности.
Поскольку существует возможность подмены процесса, злоумышленник может выполнить любой вредоносный скрипт PowerShell без необходимости сбрасывания DLL или других файлов в файловую систему, что существенно снижает риск обнаружения антивирусными решениями, отметил Нелсон.
Мэтт Нелсон проинформировал специалистов Microsoft об уязвимости, однако в компании ответили, что механизм Контроля учетных записей не относится к функциям безопасности. В настоящее время не ясно, собирается ли техногигант выпускать исправление проблемы.