TA的每日心情 | 开心 2016-12-9 18:18 |
---|
签到天数: 85 天 连续签到: 1 天 [LV.6]常住居民II 扫一扫,手机访问本帖
|
利用内置磁盘清理计划任务绕过安全控制手段
安全研究人员Matt Nelson与Matt Graeber已经发现了一种特殊的Windows用户访问控制(简称UAC)安全系统回避办法,允许恶意文件在Windows 10系统中不向用户发出任何异常提醒即得以执行。
他们发现的这种方法并不涉及任何复杂的特权文件副本或者代码注入机制,而仅仅利用了Windows内计划任务可设置为最高可用权限这一潜在漏洞。
他们选择的计划任务与磁盘清理工具相关,这款内置Windows应用旨在帮助用户清理并管理自己的磁盘驱动器。该计划任务的描述为:“由系统使用的维护任务,可在磁盘空间不足时以静默方式启动自动磁盘清理维护操作。”
利用最基本的DLL劫持技术绕开UAC控制机制
两位研究人员发现,当Windows 10运行此项任务时,其会执行磁盘清理应用,而该应用又会向“C:Users<username>AppDataLocalTemp”位置的文件夹中复制一组文件。
这些复制文件包括一个名为DismHost.exe的可执行文件外加大量DLL文件。磁盘清理应用随后会执行该EXE文件,此文件将逐一加载与其处于同一文件夹中的各个DLL文件。
两位研究人员发现,DismHost.exe会将LogProvider.dll作为执行序列中的最后一个DLL文件,这就意味着他们获得了实施攻击的时间段。
Nelson与Graeber创建了一套恶意脚本(即恶意软件),其能够监控本地文件系统在Temp目录下新文件夹的创建操作。一旦发现以上列出的文件之一,该脚本就会快速利用自己的DLL版本替换掉正常LogProvider.dll文件,而其中包含有恶意操作内容。
UAC会直接忽略掉计划任务
这项攻击技术名为DLL劫持,属于恶意攻击当中的常见执行方法。
由于此计划任务可由普通用户账户完成运行,但又拥有“最高可用权限”,因此UAC将不会被正常触发。
聪明的攻击者能够利用这项技术找到入侵普通用户账户的方法,而后利用管理员权限通过一系列DLL劫持手段完成代码执行目的。
修复仍然遥遥无期
好消息是,两位研究人员已经向微软方面通报了这一问题。但坏消息在于,微软公司在短期之内仍然不会给出任何修复办法。
“这项问题披露于2016年7月20号的微软安全响应中心(简称MSRC),”Nelson介绍称。“如预期一样,对方回应称UAC并不属于安全边界,因此这项问题不会被归类为安全漏洞。”
与此同时,微软建议用户直接禁用该任务或者取消“以最高权限运行”勾选项。
大家可以点击开始按钮,而后搜索“Scheduled Tasks。”打开该应用并在窗口左侧按顺序打开以下文件夹:Microsoft -> Windows -> DiskCleanup。在这里,使用右侧菜单以禁用该任务,或者直接取消存在问题的勾选项。
|
|