[:pb]Pesquisadores descobrem como burlar o UAC[:]

coisasdeti.com.br

[:pb]Os pesquisadores de segurança Matt Graeber e Matt Nelson descobriram uma forma de burlar o UAC no Windows 10 e assim puderam executar uma DLL maliciosa sem interrupção.

O que é o UAC (User Account Control ou Controle de Conta de Usuário)?

O UAC é uma tecnologia da Microsoft que ajuda a melhorar a segurança do Windows ao impedir que programas potencialmente perigosos façam alterações no sistema operacional sem o consentimento do usuário.

O nível padrão faz com que o UAC notifique o usuário somente quando os softwares tentarem fazer alterações no Windows. Neste nível, o usuário pode fazer alterações no sistema operacional sem ser interrompido por ele.

Já a descrição do nível máximo pode ser vista abaixo:

uac-niveis-01

Pesquisadores conseguem burlar o UAC no Windows 10

Para burlar o UAC no Windows 10, os pesquisadores fizeram uma alteração em uma tarefa agendada (“SilentCleanup”) associada ao utilitário Limpeza de Disco para que fosse possível executar a DLL especialmente criada por eles sem a interrupção do UAC.

A tarefa SilentCleanup no Windows 10 foi escolhida porque ela está configurada para ser executada mesmo por usuários sem privilégios administrativos mas com privilégios mais altos que os do usuário:

Pesquisadores conseguem burlar o UAC no Windows 10

O processo cleanmgr.exe iniciado por esta tarefa agendada cria uma nova pasta que é utilizada para armazenar múltiplas DLLs e o processo dismhost.exe, que carrega estes arquivos em uma ordem específica.

Neste caso, o que os pesquisadores fizeram foi hackear uma DLL carregada pelo processo dismhost.exe para poder executar códigos no computador com nível alto de privilégios.

Eles identificaram a última DLL carregada pelo processo dismhost.exe (LogProvider.dll) e utilizaram um evento WMI para monitorar a criação da pasta mencionada acima e assim substituir o arquivo LogProvider.dll legítimo por uma versão maliciosa com o mesmo nome.

O dismhost.exe então carregará a DLL maliciosa no lugar do arquivo legítimo e com isso o UAC no Windows 10 não interromperá sua execução.

O resultado? Execução de código malicioso com alto nível de privilégios.

Vale atacar que para fazer isso ainda é necessário primeiro que o PC seja infectado com um malware capaz de fazer a alteração e executar os outros passos.

Os pesquisadores Graeber e Nelson criaram um script do PowerShell como prova-de-conceito edisponibilizaram no GitHub.

É possível evitar esta técnica em particular desativando a tarefa agendada ou desmarcando a opção para que ela seja executada com os privilégios mais altos.

via Baboo[:]

Leave a Reply

Your email address will not be published. Required fields are marked *