Немецкий студент, известный в интернете как Christian B, выявил новую методику для обхода функционала Контроля учетных записей в Windows (UAC), которая позволяет устанавливать на систему вредоносную программу.
Контроль учетных записей пользователей (User Account Control, UAC) – это функционал Windows, который позволяет пресекать несанкционированное внесение изменений в операционную систему. UAC запрашивает разрешение или пароль администратора перед тем, как совершать потенциально опасные действия или изменять параметры, которые могут повлиять на работу других пользователей.
Методика, описанная Christian B, является разновидностью способа обхода UAC, который в августе прошлого года представил эксперт Мэтт Нельсон.
Если техника Нелсона базируется на применении программы Event Viewer, которая предназначается для просмотра журнала событий, то новая методика подразумевает использование файла для управления опциональными функциями в Windows 10 fodhelper.exe.
В рамках обеих методик используется принцип автоматического повышения привилегий, который действует в случае с различными доверенными файлами Microsoft. Так как fodhelper.exe – это доверенный файл, исполняя его система не будет активировать UAC.
Christian B выяснил, что Windows, исполняя fodhelper.exe, взаимодействует с двумя ключами реестра для дополнительных команд. Изменив значение одного из ключей, исследователь смог добавить команды, которые выполняются с повышенными привилегиями в рамках процесса fodhelper.exe.
Эксперт подчеркнул, что этот способ может применяться вредоносной программой на инфицированных устройствах. Так, она может воспользоваться скриптами для того, чтобы менять значения ключа реестра, внедрять вредоносные команды и запускать файл fodhelper.exe, который осуществит их обработку и выполнение скрытно от жертвы.
Данная методика была проверена на компьютере с версией Windows 10.0.15063. Для ее использования не нужно подключать вредоносную DLL-библиотеку или внедрять файл на диск. Christian B разместил PoC-код атаки на сайте GitHub.
