[:pb]Os pesquisadores de segurança Matt Graeber e Matt Nelson descobriram uma forma de burlar o UAC no Windows 10 e assim puderam executar uma DLL maliciosa sem interrupção.
O que é o UAC (User Account Control ou Controle de Conta de Usuário)?
O UAC é uma tecnologia da Microsoft que ajuda a melhorar a segurança do Windows ao impedir que programas potencialmente perigosos façam alterações no sistema operacional sem o consentimento do usuário.
O nível padrão faz com que o UAC notifique o usuário somente quando os softwares tentarem fazer alterações no Windows. Neste nível, o usuário pode fazer alterações no sistema operacional sem ser interrompido por ele.
Já a descrição do nível máximo pode ser vista abaixo:
Pesquisadores conseguem burlar o UAC no Windows 10
Para burlar o UAC no Windows 10, os pesquisadores fizeram uma alteração em uma tarefa agendada (“SilentCleanup”) associada ao utilitário Limpeza de Disco para que fosse possível executar a DLL especialmente criada por eles sem a interrupção do UAC.
A tarefa SilentCleanup no Windows 10 foi escolhida porque ela está configurada para ser executada mesmo por usuários sem privilégios administrativos mas com privilégios mais altos que os do usuário:
O processo cleanmgr.exe iniciado por esta tarefa agendada cria uma nova pasta que é utilizada para armazenar múltiplas DLLs e o processo dismhost.exe, que carrega estes arquivos em uma ordem específica.
Neste caso, o que os pesquisadores fizeram foi hackear uma DLL carregada pelo processo dismhost.exe para poder executar códigos no computador com nível alto de privilégios.
Eles identificaram a última DLL carregada pelo processo dismhost.exe (LogProvider.dll) e utilizaram um evento WMI para monitorar a criação da pasta mencionada acima e assim substituir o arquivo LogProvider.dll legítimo por uma versão maliciosa com o mesmo nome.
O dismhost.exe então carregará a DLL maliciosa no lugar do arquivo legítimo e com isso o UAC no Windows 10 não interromperá sua execução.
O resultado? Execução de código malicioso com alto nível de privilégios.
Vale atacar que para fazer isso ainda é necessário primeiro que o PC seja infectado com um malware capaz de fazer a alteração e executar os outros passos.
Os pesquisadores Graeber e Nelson criaram um script do PowerShell como prova-de-conceito edisponibilizaram no GitHub.
É possível evitar esta técnica em particular desativando a tarefa agendada ou desmarcando a opção para que ela seja executada com os privilégios mais altos.
via Baboo[:]