Исследователи Мэтт Нильсон и Мэтт Грабер обнаружили метод обхождения контроля учётных записей пользователя (User Access Control, UAC) в Windows 10, что позволяет запускать вредоносный код без ведома пользователей. Метод не задействует сложных механизмов с внедрением кода, используя существующий в Windows планировщик заданий, который запускается с максимальными привилегиями.
Применяется встроенная в систему утилита Disk Cleanup, которая помогает пользователям следить за порядком на жёстких дисках. Она необходима в случаях, когда свободное место подходит к концу.
Когда Windows 10 запускает эту задачу, приложение Disk Cleanup может копировать ряд файлов в папку %LocalAppData%\Temp\{GUID}. В их число входят DismHost.exe и файлы DLL. Затем файл EXE запускается, который загружает файлы DLL. DismHost.exe загружает файл LogProvider.dll последним в очереди, давая время провести атаку.
Исследователи создали вредоносный скрипт, который следит за файловой системой на предмет создания папок внутри Temp, и подменяет LogProvider.dll на свою версию с вредоносным кодом. Такой вид атаки называется DLL Hijacking. Поскольку эта запланированная задача запускается из стандартной учётной записи, но с максимальными привилегиями, UAC не срабатывает.
Microsoft уже поставлена в известность о наличии этой проблемы, но патча в ближайшее время не ожидается. В компании не классифицируют данный случай как уязвимость в системе безопасности.
Пользователям остаётся отключить Disk Cleanup или убрать галочку с опции «Выполнить с наивысшими правами». Чтобы открыть это окно, введите в поиск «Планировщик заданий» (первых нескольких букв будет достаточно), откройте Библиотека планировщика заданий > Microsoft > Windows > Disk Cleanup.
Важное техническое примечание об этой ↑ рекомендации. Новость написана журналистом, а не техническим специалистом (OSZone публикует пересказ на русском языке). Поэтому вы должны четко понимать следующие моменты:
- Если отключить "Выполнение с наивысшими правами", не будет выполняться очистка элементов, для которых нужно повышение прав (например, winsxs).
- Описанное поведение с копированием папки DISM лишь косвенно связано с запланированным заданием. Это происходит при запуске очистки диска с правами администратора (Очистить системные файлы), и такое поведение замечено еще более трех лет назад. Если запланированное задание выполняется в учетной записи администратора, наблюдается это поведение.
- UAC не является границей защищенной зоны, поэтому Microsoft и не считает текущую ситуацию уязвимостью.