Újabb trükkel cselezhető ki a Windows védelme

​A Windows adatmentésért felelős egyik összetevője egy védelmi vonal megkerülésére adhat lehetőséget.
 

A Windows felhasználói fiók felügyelete (UAC) először a Windows Vista és a Windows Server 2008 operációs rendszerekben jelent meg. Azóta a vírusírók, illetve a támadók folyamatosan igyekeznek olyan megoldásokat találni, amelyek révén megkerülhetik ezt a fajta védelmet, és a felhasználók tudta nélkül terjeszthetik a károkozóikat. Mivel ilyen esetekben nem jelenik meg a jól ismert biztonsági figyelmeztetés, ezért a számítógépek fertőzése is nagyobb valószínűséggel maradhat észrevétlen.
 
Az elmúlt években számos UAC-hatástalanító technika jelent meg. Ezek közül többet Matt Nelson biztonsági kutató fedezett fel. A szakember dolgozta ki például azokat az eljárásokat, amelyek során a Windows Lemezkarbantartó alkalmazását, illetve az Eseménynapló adta lehetőségeket használta ki a fiókfelügyelet térdre kényszerítéséhez. Ezek közül az eseménynaplós trükk már számos vírus terjesztésében is szerephez jutott.
 
Nelson a napokban egy újabb technikáról rántotta le a leplet, amely ezúttal a Windows biztonsági mentésért és visszaállításért felelős összetevőjét érinti. A kutató ugyanis kiderítette, hogy az ehhez tartozó sdclt.exe fájl (a manifestje által) lehetővé teszi az automatikus jogosultsági szint emelést Windows 10 operációs rendszer alatt. A problémát egy olyan argumentum okozza, amely végül jogosulatlan kódfuttatást segíthet elő. Ehhez a regisztrációs adatbázisba kell módosítani egy bejegyzést, amelybe elhelyezhető az a parancs, amely aztán magasabb jogosultságokat kap anélkül, hogy erre a felhasználó engedélyt adna.
 
A biztonsági kutató szerint a technika ellen jelenleg nem igazán létezik hathatós védelem, de azért a kockázatok csökkenthetők. Ehhez a regisztrációs adatbázis alábbi kulcsát érdemes monitorozni, ugyanis károkozás esetén ebbe kerülhetnek be a nemkívánatos parancsok:
HKCU\Software\Classes\exefile\shell\runas\command\isolatedCommand