เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่าน Backup and Restore Utility

Matt Nelson นักวิจัยด้านความมั่นคงปลอดภัย ออกมาแจ้งเตือนถึงช่องโหว่ “Auto-elevation” บนเครื่องมือ Backup and Restore ของ Windows 10 ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาส User Access Control (UAC) เพื่อลอบรันโค้ดอันตรายได้โดยไม่มีการแจ้งเตือนใดๆ

Credit: ShutterStock.com

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

ล่าสุด Nelson ค้นพบว่า เขาสามารถใช้ฟีเจอร์ Auto-elevation ในการโหลดไฟล์ Binary อื่นเข้าไปรันบนระบบปฏิบัติการได้ ถึงแม้ว่าไฟล์นั้นจะไม่ได้รับการยอมรับจาก Microsoft ก็ตาม โดยอาศัยช่องโหว่บนไฟล์ sdclt.exe ซึ่งเป็น Backup and Restore Utility ที่เริ่มต้นใช้ใน Windows 7

Nelson ระบุว่า เมื่อผู้ใช้เปิดใช้เครื่องมือดังกล่าว ไฟล์ sdclt.exe จะเรียกใช้ control.exe (Control Panel) เพื่อโหลดหน้าสำหรับควบคุมการ Backup and Restore ขึ้นมา แต่ก่อนที่จะโหลด control.exe นั้น sdclt.exe จะทำการส่งคำร้องขอไปยัง Windows Registry ที่อยู่บนเครื่องเพื่อถามหา App Path ของ control.exe ซึ่งปกติจะอยู่ที่

HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ต่ำ ก็สามารถแก้ไข Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถเปลี่ยน Registry Key ให้ชี้ไปยังมัลแวร์ และใช้ sdclt.exe ในการเรียกมัลแวร์เพื่อรัน Payload อันตรายได้ ที่สำคัญคือ sdctl.exe เป็นไฟล์ Binary แบบ Auto-elevation ซึ่ง Windows เชื่อถือ และจะไม่มีการแจ้งเตือน UAC แต่อย่างใด

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบเฉพาะระบบปฏิบัติการ Windows 10 เท่านั้น และทาง Nelson ประสบความสำเร็จในการทดสอบบน Windows 10 Build 15031 ซึ่งผู้ที่สนใจสามารถดาวน์โหลดสคริปต์ที่ทำ POC ได้ผ่านทาง GitHub

Nelson แนะนำวิธีรับมือกับช่องโหว่บายพาส UAC นี้ว่า ให้ตั้งค่าระดับ UAC เป็น “Always Notify” หรือลบผู้ใช้ปัจจุบันออกจากกลุ่ม Local Administrator นอกจากนี้ สำหรับผู้ดูแลระบบที่ต้องการเฝ้าระวังการโจมตีดังกล่าว ให้ปรับแต่ง Signature หรือหาวิธีเพื่อตรวจจับการเปลี่ยนแปลงบน Registry: HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-backup-and-restore-utility/

https://raw.githubusercontent.com/enigma0x3/Misc-PowerShell-Stuff/master/Invoke-AppPathBypass.ps1




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สู้กลับ ! 9% ของเว็บไซต์ยอดนิยมเริ่มใช้ Script เพื่อป้องกันการบล็อกโฆษณา

มีความร่วมมือจากมหาวิทยาลัย Iowa และ Califonia-Riverside ที่ออกสำรวจการใช้งาน Script เพื่อต่อต้านการบล็อกโฆษณาใน 5 ปีที่ผ่านมาพบว่า 9% ของเว็บไซต์ยอดนิยมได้เริ่มใช้งานหรือกำลังติดตั้ง Script เพื่อสู้กับ Extension ที่ใช้บล็อกโฆษณาและรักษารายได้ของเว็บที่มาจากการโฆษณาเหล่านั้น

[PR] แคสเปอร์สกี้ แลป ยื่นคำร้องเพื่อล้มคำสั่งของกระทรวงความมั่นคงสหรัฐฯ

แคสเปอร์สกี้ แลป ประกาศว่าได้ยื่นอุทธรณ์ต่อศาลรัฐบาลกลางต่อการตัดสินใจของกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ เรื่องการยกเลิกการใช้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป ในหน่วยงานของรัฐ แคสเปอร์สกี้ แลป ได้ยื่นอุทธรณ์ภายใต้พระราชบัญญัติวิธีปฏิบัติราชการทางปกครอง หรือ Administrative Procedure Act เพื่อเรียกร้องสิทธิตามรัฐธรรมนูญ และต่อคำสั่ง …