Windows 10是美國微軟公司研發(fā)的跨平臺及設(shè)備應(yīng)用的操作系統(tǒng)。是微軟發(fā)布的最后一個獨立Windows版本。Windows 10共有7個發(fā)行版本,分別面向不同用戶和設(shè)備。2014年10月1日,微軟在舊金山召開新品發(fā)布會,對外展示了新一代Windows操作系統(tǒng),將它命名為“Windows 10”,新系統(tǒng)的名稱跳過了這個數(shù)字“9”。截止至2018年3月7日,Windows 10正式版已更新至秋季創(chuàng)意者10.0.16299.309版本,預(yù)覽版已更新至春季創(chuàng)意者10.0.17120版本 Windows 10用戶帳戶控制(也稱為UAC)是一個Windows功能,應(yīng)該為Microsoft的操作系統(tǒng)添加一個新的保護層,請求管理員權(quán)限啟動可以修改系統(tǒng)文件或設(shè)置的進程。
雖然它是為了這個目的而開發(fā)的,但UAC可以輕易地成為一把雙刃劍,因為旁路可以使它完全無用,并使網(wǎng)絡(luò)犯罪分子在沒有保護的系統(tǒng)上部署惡意軟件。
安全研究員最近發(fā)現(xiàn)了一種繞過UAC的新方法,所有這一切都歸結(jié)于Windows自Vista發(fā)布以來在Windows中提供的備份和恢復(fù)工具。具體來說,Nelson解釋說,通過簡單地修改備份和恢復(fù)實用程序的注冊表路徑,可以輕松地繞過UAC,這可以通過其相應(yīng)的進程sdclt.exe在系統(tǒng)上標(biāo)識。

每當(dāng)啟動“備份和恢復(fù)”時,系統(tǒng)會轉(zhuǎn)到另一個進程,此時稱為control.exe并屬于控制面板,以顯示用戶界面 - 備份和恢復(fù)集成到控制面板中,(ghost123)因此讓它們鏈接需要sdclt.exe發(fā)送一個啟動命令到control.exe。
要啟動控制面板,sdclt.exe在Windows注冊表中查找其路徑,這是由Microsoft定義為HKCU:\ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe。
■如何阻止
不需要管理員權(quán)限來修改此過程的路徑,這意味著受惡意軟件攻擊的標(biāo)準(zhǔn)帳戶可用于更改地址,將其指向其他惡意軟件,然后在計算機上獲得管理員權(quán)限備份和還原工具,它被自動授予完全訪問權(quán)限,因為它在Windows中被列為受信任的應(yīng)用程序。
阻止此旁路并不困難,稱UAC級別可以切換為“始終通知”或簡單地從本地管理員組中刪除當(dāng)前用戶。重要的是要知道,這種旁路只適用于Windows 10,在Windows 10構(gòu)建15031上測試了它,它包含了UAC旁路的大多數(shù)補丁,因此現(xiàn)有的Creators Update構(gòu)建會受到影響好。創(chuàng)建者更新預(yù)計將在下個月發(fā)布,RTM將在本周編譯,但Microsoft可以隨時使用在公開發(fā)布前發(fā)布的補丁阻止此旁路。
Windows 10系統(tǒng)成為了智能手機、PC、平板、Xbox One、物聯(lián)網(wǎng)和其他各種辦公設(shè)備的心臟,使設(shè)備之間提供無縫的操作體驗。
|