เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่าน Backup and Restore Utility

Matt Nelson นักวิจัยด้านความมั่นคงปลอดภัย ออกมาแจ้งเตือนถึงช่องโหว่ “Auto-elevation” บนเครื่องมือ Backup and Restore ของ Windows 10 ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาส User Access Control (UAC) เพื่อลอบรันโค้ดอันตรายได้โดยไม่มีการแจ้งเตือนใดๆ

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

ล่าสุด Nelson ค้นพบว่า เขาสามารถใช้ฟีเจอร์ Auto-elevation ในการโหลดไฟล์ Binary อื่นเข้าไปรันบนระบบปฏิบัติการได้ ถึงแม้ว่าไฟล์นั้นจะไม่ได้รับการยอมรับจาก Microsoft ก็ตาม โดยอาศัยช่องโหว่บนไฟล์ sdclt.exe ซึ่งเป็น Backup and Restore Utility ที่เริ่มต้นใช้ใน Windows 7

Nelson ระบุว่า เมื่อผู้ใช้เปิดใช้เครื่องมือดังกล่าว ไฟล์ sdclt.exe จะเรียกใช้ control.exe (Control Panel) เพื่อโหลดหน้าสำหรับควบคุมการ Backup and Restore ขึ้นมา แต่ก่อนที่จะโหลด control.exe นั้น sdclt.exe จะทำการส่งคำร้องขอไปยัง Windows Registry ที่อยู่บนเครื่องเพื่อถามหา App Path ของ control.exe ซึ่งปกติจะอยู่ที่

HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ต่ำ ก็สามารถแก้ไข Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถเปลี่ยน Registry Key ให้ชี้ไปยังมัลแวร์ และใช้ sdclt.exe ในการเรียกมัลแวร์เพื่อรัน Payload อันตรายได้ ที่สำคัญคือ sdctl.exe เป็นไฟล์ Binary แบบ Auto-elevation ซึ่ง Windows เชื่อถือ และจะไม่มีการแจ้งเตือน UAC แต่อย่างใด

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบเฉพาะระบบปฏิบัติการ Windows 10 เท่านั้น และทาง Nelson ประสบความสำเร็จในการทดสอบบน Windows 10 Build 15031 ซึ่งผู้ที่สนใจสามารถดาวน์โหลดสคริปต์ที่ทำ POC ได้ผ่านทาง GitHub

Nelson แนะนำวิธีรับมือกับช่องโหว่บายพาส UAC นี้ว่า ให้ตั้งค่าระดับ UAC เป็น “Always Notify” หรือลบผู้ใช้ปัจจุบันออกจากกลุ่ม Local Administrator นอกจากนี้ สำหรับผู้ดูแลระบบที่ต้องการเฝ้าระวังการโจมตีดังกล่าว ให้ปรับแต่ง Signature หรือหาวิธีเพื่อตรวจจับการเปลี่ยนแปลงบน Registry: HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-backup-and-restore-utility/

https://raw.githubusercontent.com/enigma0x3/Misc-PowerShell-Stuff/master/Invoke-AppPathBypass.ps1