Két kutató furcsa hibát talált a Windowsban: az Eseménynapló (Event Viewer) segíthet az felhasználói fiókok felügyeletét szolgáló, úgynevezett UAC (User Account Control) átejtésére. Matt Graeber és Matt Nelson egy hónapja már felfedezett valami hasonlót, akkor a Lemezkarbantartónál (Disk Cleanup) tapasztaltak valami hasonlót – írta összefoglalójában a Biztonságportál.

A Microsoftot most is – akárcsak a Lemezkarbantartó segédprogram esetében – elismerte, hogy a támadási technika alkalmazható, de ettől még nem sebezhetőség. Csak akkor jelent veszélyt, ha valaki rendszergazdai jogosultságokkal használja a rendszert.

Ha a felhasználó nem figyel, mit sem ér az UAC

A Windows Vistában jelent meg a felhasználói fiókokat felügyelő User Account Control biztonsági funkció. Egyik feladata, hogy a rendszergazdai jogokat igénylő műveleteknél – alapértelmezett beállítások mellett – megjelenít egy üzenetablakot, amely figyelmezteti a felhasználót a kockázatokra, és a felhasználónak felajánlja a választást az adott művelet elvégzése vagy elutasítása között.

Csakhogy az UAC alapbeállításban nem minden programnál ad ki figyelmeztetést. Ha például egy alkalmazás rendelkezik a Microsoft digitális aláírásával, azt a Windows ilyenkor alapból megbízhatónak tekinti. Ilyen segédprogram az Eseménynapló és a Lemezkarbantartó is.

Az UAC gyenge pontja a felhasználó maga. Ha ugyanis a felhasználó gondolkodás nélkül jóváhagyja a műveletet – mondván, a Microsoft saját programjáról van szó –, gyakorlatilag nem ér semmit. A kód ugyanis lefut akkor is, ha azt semmi sem indokolja. A hackerek dolgát csak annyiban nehezíti, hogy számolniuk kell azzal, hogy támadásukhoz szükségük lesz a felhasználó közreműködésére.

Windowszal hackelt Windows

Graeber és Nelson először a Lemezkarbantartó alkalmazásnál figyelte meg, hogy segítségével viszonylag egyszerűen átejthető az UAC a Windows 10-ben. Majd a közelmúltban kiderült, hogy hasonló módon vethető be az Eseménynapló is.

A lemezkarbantartó esetében az alapértelmezett ütemezett feladatok között lévő SilentCleanup segítségével lehetett jogosulatlanul kódot futtatni a rendszeren. A SilentCleanup azért veszélyes, mert akkor is a legmagasabb jogosultsággal fut, ha maga a felhasználó nem rendszergazda módban dolgozik. A segédprogram létrehoz egy átmeneti könyvtárat, belemásol egy végrehajtható fájlt (.exe) és néhány DLL-t. Amikor a végrehajtható fájl elindul, bizonyos sorrendben betölti a DLL-eket. Ha a támadónak ezen a ponton sikerül valamelyik DLL-t módosítania, akkor kiiktathatja az UAC-t.

Graeberék készítettek egy proof of conceptet is a támadásra. Ebből kiderült, hogy a támadás azért veszélyes, mert a biztonsági megoldások nehezen ismerik fel, ráadásul amint lefutott a CilentCleanup, minden törlődik az átmeneti könyvtárból, azaz maga a Windows tünteti el a támadás nyomát.

Az Eseménynaplóval is eljátszható

A két kutató megvizsgált más segédprogramokat is. Így jöttek rá, hogy az Eseménynapló működésében is vannak biztonsági szempontból problémás pontok. Kiderült ugyanis, hogy úgy kérdezi le a regisztrációs adatbázist, hogy az kihasználható az UAC megkerülésére.

A technika arra épül, hogy az Eseménynapló egy a regisztrációs adatbázisban szereplő kulcs kiolvasásával kérdezi le az MMC (Microsoft Management Console) konzol elérési útvonalát, amit futtatnia kell. A kutatók mindössze annyit tettek, hogy a kiolvasandó bejegyzést kicserélték a PowerShell elérési útvonalára az Eseménynapló indítása előtt. Ezzel máris képessé váltak arra, emelt szintű jogosultságokkal futtassanak scripteket. Végül visszaállították a regisztrációs adatbázist az eredeti állapotra (visszaírták az eredeti bejegyzést), amivel eltüntették a manipuláció nyomát.

Követhetetlen a támadás

Ezek persze csak kísérletek, és egyelőre nincs is arra utaló jel, hogy valódi támadásokban használták volna. Pedig a módszer a potenciális támadóknak több előnyt is nyújt.

A fentebb említett automatikus nyomeltüntetés mellett ott van az, hogy a hackernek nem kell fájlokat felmásolnia a rendszerbe az UAC kiiktatásához. Így viszont a víruskeresők és az egyéb biztonsági alkalmazások sokkal könnyebben átjátszhatók. Mivel a nyomok eltűnnek, így az utólagos vizsgálatokkal is nehéz fényt deríteni arra, hogy mi is történt, vagy hogy egyáltalán történt-e valami.

A Microsoftot úgy reagált, hogy akárcsak a Lemezkarbantartó esetében, itt sincs szó kimondott sebezhetőségről, azaz szoftverben lévő biztonsági résről. Szerintük a technika kizárólag akkor működőképes, ha a felhasználó rendszergazdaként jelentkezik be a gépre.

Igazából Graeber és Nelson sem tudott univerzális megoldást a veszély csökkentésére. Szerintük az segít némileg, ha UAC-ot a legmagasabb biztonsági szinttel használjuk, és csak a legszükségesebb esetben kalózkodunk saját gépünkön rendszergazdaként.