安全研究员Matt Nelson目前表示,最近发现的利用App Paths的用户账户控制(UAC)绕过能够用于无文件攻击活动。
上周Nelson披露称Windows 10中的App Paths和Backup and Restore工具(sdclt.exe)能被用于绕过UAC,因为sdclt.exe会自动升级。Nelson公布了PoC利用代码来演示该攻击不过告警称由于不支持参数,因此有效负载必须被保存在硬盘上。
Nelson之前曾多次披露UAC绕过技术(如去年的Event Viewer和Disk Cleanup技术)。不过跟之前一样,这次无文件攻击也只适用于Windows 10,因为sdclt.exe在此前发布的清单阻止其从介质完整性开始时自动升级。
研究人员解释称自己在分析sdclt.exe二进制查找命令行参数时发现如果使用特定的参数,就能将一个系数添加到sdclt.exe中,而它能够通过权限升级执行。他在GitHub上公布了一个PoC来证实绕过。
跟此前一样,这种无文件攻击可通过将UAC级别设置为“总是通知”状态或者将当前用户从本地管理员组中删除就可被阻止。研究人员指出要监控系统是否遭受无文件攻击可通过在HKCU:\Software\Classes\exefile\shell\runas\command\isolatedCommand中查找新注册条目的方式实现。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。