CDIC 2023

เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่าน Backup and Restore Utility

Matt Nelson นักวิจัยด้านความมั่นคงปลอดภัย ออกมาแจ้งเตือนถึงช่องโหว่ “Auto-elevation” บนเครื่องมือ Backup and Restore ของ Windows 10 ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาส User Access Control (UAC) เพื่อลอบรันโค้ดอันตรายได้โดยไม่มีการแจ้งเตือนใดๆ

Credit: ShutterStock.com

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

ล่าสุด Nelson ค้นพบว่า เขาสามารถใช้ฟีเจอร์ Auto-elevation ในการโหลดไฟล์ Binary อื่นเข้าไปรันบนระบบปฏิบัติการได้ ถึงแม้ว่าไฟล์นั้นจะไม่ได้รับการยอมรับจาก Microsoft ก็ตาม โดยอาศัยช่องโหว่บนไฟล์ sdclt.exe ซึ่งเป็น Backup and Restore Utility ที่เริ่มต้นใช้ใน Windows 7

Nelson ระบุว่า เมื่อผู้ใช้เปิดใช้เครื่องมือดังกล่าว ไฟล์ sdclt.exe จะเรียกใช้ control.exe (Control Panel) เพื่อโหลดหน้าสำหรับควบคุมการ Backup and Restore ขึ้นมา แต่ก่อนที่จะโหลด control.exe นั้น sdclt.exe จะทำการส่งคำร้องขอไปยัง Windows Registry ที่อยู่บนเครื่องเพื่อถามหา App Path ของ control.exe ซึ่งปกติจะอยู่ที่

HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ต่ำ ก็สามารถแก้ไข Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถเปลี่ยน Registry Key ให้ชี้ไปยังมัลแวร์ และใช้ sdclt.exe ในการเรียกมัลแวร์เพื่อรัน Payload อันตรายได้ ที่สำคัญคือ sdctl.exe เป็นไฟล์ Binary แบบ Auto-elevation ซึ่ง Windows เชื่อถือ และจะไม่มีการแจ้งเตือน UAC แต่อย่างใด

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบเฉพาะระบบปฏิบัติการ Windows 10 เท่านั้น และทาง Nelson ประสบความสำเร็จในการทดสอบบน Windows 10 Build 15031 ซึ่งผู้ที่สนใจสามารถดาวน์โหลดสคริปต์ที่ทำ POC ได้ผ่านทาง GitHub

Nelson แนะนำวิธีรับมือกับช่องโหว่บายพาส UAC นี้ว่า ให้ตั้งค่าระดับ UAC เป็น “Always Notify” หรือลบผู้ใช้ปัจจุบันออกจากกลุ่ม Local Administrator นอกจากนี้ สำหรับผู้ดูแลระบบที่ต้องการเฝ้าระวังการโจมตีดังกล่าว ให้ปรับแต่ง Signature หรือหาวิธีเพื่อตรวจจับการเปลี่ยนแปลงบน Registry: HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-backup-and-restore-utility/

https://raw.githubusercontent.com/enigma0x3/Misc-PowerShell-Stuff/master/Invoke-AppPathBypass.ps1


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AIS Business ประกาศขับเคลื่อน “Ecosystem Economy” เปิดตัว 5 โซลูชัน ผลักดันความร่วมมือข้ามอุตสาหกรรม

การทำธุรกิจในโลกยุคดิจิทัลที่เทคโนโลยีเปลี่ยนแปลงไปอย่างก้าวกระโดดนั้นถือว่ามีความท้าทายเป็นอย่างมาก ไม่ว่าจะเป็นเรื่อง Generative AI (Gen AI) ที่กำลังร้อนแรง Cybersecurity ที่ทวีความรุนแรงขึ้นเรื่อย ๆ หรือเรื่องวัฒนธรรมการทำงานของคนที่เปลี่ยนไป สิ่งเหล่านี้ล้วนเป็นประเด็นที่ทุกองค์กรต้องให้ความสำคัญทั้งสิ้น แต่ด้วยทรัพยากรและเวลาที่จำกัด การจัดการให้ทุกอย่างปกติดีด้วยตัวเองทั้งหมดนั้นอาจเป็นเรื่องที่ทำได้ยากเกินไปสำหรับหลาย ๆ …

Protected: [สัมภาษณ์พิเศษ] GrowPro ผนึกกำลัง Ridge Security ยกระดับบริการ “Automated Penetration Testing” ที่ขับเคลื่อนด้วยพลัง AI

There is no excerpt because this is a protected post.