Amikor a Windows már önmagára is veszélyt jelent

​Újabb trükk látott napvilágot a Windows felhasználói fiókok felügyeletének megkerüléséhez. A technika Windows 10 alatt segítheti a vírusterjesztők dolgát.
 

Először a Windows Vistában jelent meg az úgynevezett UAC (User Account Control) funkció, amely a felhasználói fiókok felügyeletét hivatott ellátni. A célja, hogy figyelmeztesse a felhasználót arra, ha egy szoftvert emelt jogosultsági szinten akar műveleteket végrehajtani. Ekkor egy jól ismert ablak jelenik meg. Noha ezt a felhasználók sokszor különösebb körültekintés nélkül engedélyezik, azért a kártékony programok terjesztői nem szeretik, mivel felhívhatja a figyelmet egy esetleges fertőzésre. Ezért olyan módszereket igyekeznek bevetni, amik révén ezt a kis dialógus ablakot elrejthetik a felhasználó elől.
 
Tavaly nyáron Matt Nelson arra jött rá, hogy a Windows Eseménynaplója (eventvwr.exe) az operációs rendszer és az UAC szempontjából megbízhatónak tekinthető, így nem váltja ki az UAC-os figyelmeztetést, miközben rávehető különféle parancsok futtatására. E trükköt azóta már több ártalmas program terjesztése során is kihasználták a kiberbűnözők.
 
A Nelson-féle eljárást egy német egyetemi hallgató fejlesztette tovább, amikor arra jött rá, hogy nem kizárólag az Eseménynapló használható fel az UAC által jelentett védelmi mechanizmus megkerülésére. Christian B. szerint hasonló módon jelent kockázatot a Windows-hoz tartozó fodhelper.exe is, amely az alkalmazások kezelésére szolgáló ablakból nyílik meg "választható funkciók kezelése" címszóval.  
A fodhelper.exe az elindítása után a regisztrációs adatbázisból lekérdez néhány bejegyzést, amelyek közül az egyik parancsokat tartalmazhat. Ha végrehajtandó utasítást talál, akkor azt emelt jogosultsági szinten végrehajtja anélkül, hogy az UAC figyelmeztetne. Mindez annak tudható be, hogy a szóban forgó fájl is rendelkezik a Microsoft digitális aláírásával, és a Windows\System32 könyvtárban található.
 
Ha egy vírus igyekszik kihasználni a fodhelper.exe adta lehetőségeket, akkor nincs más teendője, mint a regisztrációs adatbázist egy ponton manipulálni, majd elindítani a fodhelper.exe állományt. Ettől kezdve a Windows saját fájlja fog hozzájárulni a nemkívánatos műveletek végrehajtásához.
 
A német hallgató szerint a módszere akkor működőképes, ha a rendszerbe aktuálisan bejelentkezett felhasználó a Rendszergazdák csoport tagja. Jelenleg leginkább ezt a tényt lehet kihasználni a kockázatok csökkentéséhez: a szakember azt javasolja, hogy a lehetőségekhez mérten ne rendszargazdai jogok birtokában használjuk a számítógépet a mindennapi tevékenységek során.