Oczyszczanie dysku pozwala obejść UAC w Windowsie 10. Łatki jednak nie będzie
Mechanizm User Access Control (UAC, po polsku Kontrola kontaużytkownika) w Windowsie jest rozwiązaniem mającym poprawiaćbezpieczeństwo systemu, zmuszając aplikacje do wyczekiwania naautoryzację ich uruchomienia przez administratora. Teraz jednakokazuje się, że UAC wcale nie służy bezpieczeństwu. Coś takiegood Microsoftu usłyszeli badacze, którzy zgłosili firmie odkrytąprzez siebie lukę w Windowsie 10, dotyczącą właśnie tegomechanizmu. Łatki więc nie będzie. Przyjrzyjmy się więc o cochodzi, co tym razem dolega zabezpieczeniom najnowszych „okienek”.
26.07.2016 | aktual.: 26.07.2016 13:37
Na łamach swojego bloga enigma0x3 Matt Nelson i Matt Graeberopisująbardzo ciekawą metodę obejścia User Account Control. Takichpublicznie znanych metod obejścia jest już kilka,ale ta ma jedną zaletę – nie wymaga wstrzykiwania żadnego koduani wykorzystania uprzywilejowanychmetod kopiowania plików. Zamiast tego można skorzystać zdziałającego w Windowsie zadania, które uruchomione jest znajwyższymi możliwymi przywilejami.
Tym zadaniem jest aktywność narzędzia Disk Cleanup(Oczyszczanie dysku), służącego do usuwania śmieci z nośnikówpamięci masowej. Zadanie działa pod nazwą SilentCleanup i opisanejest jako „Zadanie konserwacji używane przez system douruchamiania dyskretnego automatycznego oczyszczania dysku, gdyzaczyna brakować miejsca”. Wszystko fajnie, tylko okazuje się, żeprzy domyślnych ustawieniach systemu uruchomić mogą je zwykliużytkownicy, ono samo tymczasem działa z najwyższymiuprawnieniami. I faktycznie, uruchomiony przez to zadanie procescleanmgr.exe automatycznie ma w systemie najwyższe uprawnienia.
To jednak nie wszystko, co się dzieje. Jak odkryli Nelson iGraeber, uruchomienie procesu wiąże się też ze skopiowaniempewnych plików do C:\Users\nazwauzytkownika\AppData\Local\Temp.Wśród nich jest plik wykonywalny DismHost.exe oraz spora liczbaplików DLL. Narzędzie oczyszczania dysku uruchamia następnieDismHost.exe, które zaczyna ładować pliki DLL jeden po drugim,kończąc na pliku LogProvider.dll.
Atak jest całkiem elegancki. Stworzony przez badaczy szkodnikmonitoruje lokalny system plików pod kątem utworzenia nowychfolderów we wspomnianym miejscu i gdy to nastąpi, podmienia plikLogProvider.dll jego uzłośliwioną wersją. Przejęty DLL zostajezaładowany, pozwalając uruchomić wrogi kod z najwyższymiuprawnieniami. Jako że wszystko to dzieje się w ramach zwykłegokonta użytkownika, User Access Control nic z tym nie robi.
Zamiast sprzedać swoje odkrycie na czarnym rynku, odpowiedzialniodkrywcy zgłosili je 20 lipca do Microsoft Security Response Center.Jak pisze Nelson, w odpowiedzi usłyszeli, że to niejest luka bezpieczeństwa w sensie używanym przez Microsoft.Łatki więc nie będzie.
Co więc robić? Użytkownikom Windowsa 10 można polecić jedyniewejście do Panelu Sterowania, wybranie Narzędzi Administracyjnych,a tam Harmonogramu zadań. Tam w drzewku zadań systemowych należywyszukać gałąź Microsoft > Windows > DiskCleanup, anastępnie z menu w panelu po prawej stronie kliknąć przyciskWyłącz.