事件查看器被用于绕过UAC:Windows 7/10受影响
Windows 中内建的事件查看器程序,可被用于欺骗绕过 Windows 7/10 系统的用户账户控制(UAC)这一安全功能。发现这一问题的安全研究人员 Natt Nelson 和 Matt Graeber,已于 7 月底详细披露了另一款可被用于绕过 Windows UAC 的应用程序(Windows 10 磁盘清理工具),两者仅在技术实现上有所区别。
根据此前的报道,借助 Windows 10 磁盘清理工具的高权限,恶意攻击者可以将 DLL(动态链接库)文件拷贝到一个不安全的位置。由于不被 UAC 所标识,其能够发起 DLL 劫持式攻击。
而在今天发布的报告中,两名研究人员结合了无需向文件系统拖动和注入 DLL 文件的两种方法:这涉及错综复杂的 Windows 注册表键值,最终可被事件查看器进程(eventvwr.exe)所查询,触发一个高完整性进程的隐藏操作——比如可被 UAC 所允许通过的事件查看器(被误以为是一种无害的操作)。
当然,这种类型的 UAC 迂回攻击是有方法阻止的。两名研究人员称,这是一种独特的、此前从未见过的绕过 UAC 的技术(此前多依赖于进程劫持、特权文件复制、或删除用户 PC 上的文件)。
如果将 UAC 级别设置为“始终通知”、或者将当前用户移出“本地管理员”群组,那这类攻击都可被 UAC 所提醒。
此外,如需监测此类攻击,也可利用签名方法来查找/警示新的注册表条目(特别是在 HKCUSoftwareClasses 下面)。
微软并非将 UAC 当做是一个“真正的安全特性”,但恶意软件开发者们显然都希望不触发提示,以便静悄悄地潜伏进入受害者的 PC。
[编译自:Soft Pedia]
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
