เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่าน Backup and Restore Utility

Matt Nelson นักวิจัยด้านความมั่นคงปลอดภัย ออกมาแจ้งเตือนถึงช่องโหว่ “Auto-elevation” บนเครื่องมือ Backup and Restore ของ Windows 10 ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาส User Access Control (UAC) เพื่อลอบรันโค้ดอันตรายได้โดยไม่มีการแจ้งเตือนใดๆ

Credit: ShutterStock.com

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

ล่าสุด Nelson ค้นพบว่า เขาสามารถใช้ฟีเจอร์ Auto-elevation ในการโหลดไฟล์ Binary อื่นเข้าไปรันบนระบบปฏิบัติการได้ ถึงแม้ว่าไฟล์นั้นจะไม่ได้รับการยอมรับจาก Microsoft ก็ตาม โดยอาศัยช่องโหว่บนไฟล์ sdclt.exe ซึ่งเป็น Backup and Restore Utility ที่เริ่มต้นใช้ใน Windows 7

Nelson ระบุว่า เมื่อผู้ใช้เปิดใช้เครื่องมือดังกล่าว ไฟล์ sdclt.exe จะเรียกใช้ control.exe (Control Panel) เพื่อโหลดหน้าสำหรับควบคุมการ Backup and Restore ขึ้นมา แต่ก่อนที่จะโหลด control.exe นั้น sdclt.exe จะทำการส่งคำร้องขอไปยัง Windows Registry ที่อยู่บนเครื่องเพื่อถามหา App Path ของ control.exe ซึ่งปกติจะอยู่ที่

HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ต่ำ ก็สามารถแก้ไข Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถเปลี่ยน Registry Key ให้ชี้ไปยังมัลแวร์ และใช้ sdclt.exe ในการเรียกมัลแวร์เพื่อรัน Payload อันตรายได้ ที่สำคัญคือ sdctl.exe เป็นไฟล์ Binary แบบ Auto-elevation ซึ่ง Windows เชื่อถือ และจะไม่มีการแจ้งเตือน UAC แต่อย่างใด

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบเฉพาะระบบปฏิบัติการ Windows 10 เท่านั้น และทาง Nelson ประสบความสำเร็จในการทดสอบบน Windows 10 Build 15031 ซึ่งผู้ที่สนใจสามารถดาวน์โหลดสคริปต์ที่ทำ POC ได้ผ่านทาง GitHub

Nelson แนะนำวิธีรับมือกับช่องโหว่บายพาส UAC นี้ว่า ให้ตั้งค่าระดับ UAC เป็น “Always Notify” หรือลบผู้ใช้ปัจจุบันออกจากกลุ่ม Local Administrator นอกจากนี้ สำหรับผู้ดูแลระบบที่ต้องการเฝ้าระวังการโจมตีดังกล่าว ให้ปรับแต่ง Signature หรือหาวิธีเพื่อตรวจจับการเปลี่ยนแปลงบน Registry: HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-backup-and-restore-utility/

https://raw.githubusercontent.com/enigma0x3/Misc-PowerShell-Stuff/master/Invoke-AppPathBypass.ps1


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชื่อมต่อทุกอุปกรณ์การประชุมเข้าได้กับทุกแพลตฟอร์มด้วยโซลูชัน Enterprise Room Connector จาก Pexip

ปัจจุบันหลายองค์กรกำลังเผชิญปัญหาของความหลากหลายที่เกิดขึ้นจากแพลตฟอร์มประชุมต่างค่าย อย่างไรก็ดีอุปกรณ์ห้องประชุมที่เคยลงทุนไว้แบบเดิมอาจไม่รองรับแพลตฟอร์มเหล่านั้น ด้วยเหตุนี้เององค์กรอาจต้องแก้ปัญหาด้วยการลงทุนเพิ่มในโซลูชันเสริมในรูปแบบของฮาร์ดแวร์เพื่อช่วยให้อุปกรณ์ 3rd Party เหล่านั้นทำงานได้กับแพลตฟอร์มต่างๆ โดย Pexip เองเป็นหนึ่งในแพลตฟอร์มชั้นนำที่นำเสนอโซลูชันนี้ผ่านรูปแบบ SaaS ที่พร้อมใช้ภายใต้ชื่อ Enterprise Room Connector ในบทความนี้เราจะขอพาทุกท่านไปรู้จักกับโซลูชันนี้ให้มากขึ้นตั้งแต่แนวคิดการทำงาน พร้อมภาพประกอบที่ทีมงานได้มีโอกาสเข้าไปติดตามการใช้งานจริงครับ

Exotic Food เผยเคล็ดลับวางระบบ ERP ให้ประสบความสำเร็จและใช้งานได้จริงด้วยแนวคิด “เปิดโอกาสให้ทุกคนมีส่วนร่วม” กับการเลือกใช้ SAP S/4HANA จาก NTT DATA Business Solutions Thailand

การวางระบบ ERP ให้ใช้งานได้จริงนั้นถือเป็นหนึ่งในความท้าทายของธุรกิจองค์กรหลายแห่ง เพราะระบบ ERP นั้นเป็นระบบที่มีความซับซ้อนและต้องรองรับต่อการทำงานของธุรกิจได้อย่างเหมาะสม ดังนั้นจึงไม่แปลกที่เราจะเห็นธุรกิจองค์กรจำนวนมากที่มีแผนลงทุนใช้งานระบบ ERP นั้น ประสบกับปัญหาว่าระบบ ERP ที่ได้ลงทุนไปกลับไม่สามารถใช้งานได้ กลายเป็นคอขวดใหม่ของการดำเนินธุรกิจแทนที่จะกลายเป็นรากฐานสำคัญสู่การเติบโตอย่างมั่นคง