Windows 10 용 사용자 액세스 제어는 보안을 염두에두고 설계되었지만 보안 연구원 Matt Nelson이 발견 한 새로운 UAC 우회 기술은 보안 수단을 쓸모 없게 만듭니다. 이 해킹은 Windows 레지스트리 앱 경로를 수정하고 백업 및 복원 유틸리티를 조작하여 악성 코드를 시스템에로드합니다.

작동 원리

우회 전략은 소프트웨어 회사가 생성하고 디지털 서명 한 신뢰할 수있는 바이너리에 할당 된 Microsoft의 자동 고도 상태를 활용합니다. 즉, 보안 수준에도 불구하고 신뢰할 수있는 이진 파일이 시작될 때 UAC 창이 표시되지 않습니다. 넬슨은 그의 블로그에서 다음과 같이 설명했다.

SysInternals 도구 인 "sigcheck"를 사용하여 이러한 자동 상승 바이너리를 더 많이 검색하는 동안 "sdclt.exe"를 발견하여 매니페스트로 인해 자동 상승하는 것을 확인했습니다.

sdclt.exe의 실행 흐름을 관찰 할 때이 바이너리가 control.exe를 시작하여 무결성이 높은 컨텍스트에서 제어판 항목을 여는 것이 분명해집니다.

sdclt.exe 이진은 Microsoft가 Windows 7에서 도입 한 기본 제공 백업 및 복원 유틸리티입니다. Nelson은 sdclt.exe 파일이 사용자가 유틸리티를 열 때 제어판 이진을 사용하여 백업 및 복원 설정 페이지를로드한다고 설명했습니다.

그러나 sdclt.exe는 control.exe를로드하기 전에 control.exe의 앱 경로를 얻기 위해 쿼리를 로컬 Windows 레지스트리로 보냅니다. 연구원은 권한 수준이 낮은 사용자가 여전히 레지스트리 키를 수정할 수 있기 때문에 이것이 문제가된다는 사실을 인정합니다. 요컨대 공격자는이 레지스트리 키를 변경하여 맬웨어를 가리킬 수 있습니다. 그러면 sdclt.exe가 자동으로 높아 지므로 Windows는 앱을 신뢰하고 UAC 프롬프트를 철회합니다.

우회 기술은 Windows 10에만 적용된다는 점을 지적 할 가치가 있습니다. Nelson은 Windows 10 빌드 15031에서 핵을 테스트했습니다. 보안 결함을 해결하기 위해 연구원은 사용자가 UAC 수준을 "항상 알림"으로 설정하거나 로컬 관리자 그룹의 사용자.