Подробная информация о новом методе обхода Контроля учетных записей Windows (UAC), который позволяет выполнять произвольный код на системе, была опубликована исследователем информационной безопасности Мэттом Нельсоном.
Уязвимость имеет отношение к программе Event Viewer (eventvwr.exe), которая используется для того, чтобы просматривать журнал событий в удаленном или локальном режиме. Нельсону удалось применить eventvwr.exe для того, чтобы подменить файлы реестра Windows, запустить PowerShell и выполнить произвольный код на системе. Нельсон и другой эксперт Мэтт Гребер вместе разработали PoC-код, проверенный на компьютерах с Windows 7 и 10. Как утверждает Нельсон, эксплоит функционирует на любой версии ОС, имеющей поддержку функции UAC. PoC-код был размещен на GitHub.
Эта техника дает пользователю, имеющему права администратора, возможность без ограничений выполнять код в контексте процесса высокого уровня целостности.
Эксперт обратил внимание, что eventvwr.exe, являющийся процессом с высоким уровнем целостности, отправляет запросы для разделов HKCU и HKCR, чтобы запустить Консоль управления Microsoft (mmc.exe), которая затем должна открыть файл eventvwr.msc. Нельсон разработал структуру реестра, которая дает eventvwr.exe возможность запрашивать HKCU вместо HKCR. После исследователь заменил исполняемый по умолчанию файл в HKCR\mscfile\shell\open\command на powershell.exe. В результате Нельсон запустил скрипт PowerShell как процесс с высоким уровнем целостности.
Так как есть возможность замены процесса, хакер может выполнять любые вредоносные скрипты PowerShell, не сбрасывая DLL в файловую систему. Это, по словам Нельсона, уменьшает риск обнаружения антивирусами вредоносной активности.
Нельсон сообщил специалистам Microsoft о проблеме, но представители корпорации ответили, что Контроль учетных записей не является функцией безопасности. Неизвестно, будет ли компания исправлять проблему.