Windows 10 için Kullanıcı Erişim Denetimi güvenlik göz önünde bulundurularak tasarlanırken, güvenlik araştırmacısı Matt Nelson tarafından keşfedilen yeni bir UAC bypass tekniği güvenlik önlemini işe yaramaz hale getiriyor. Hack, Windows kayıt defteri uygulama yollarını değiştirmeye ve sisteme kötü amaçlı kod yüklemek için Yedekle ve Geri Yükle yardımcı programını kullanmaya dayanır.

Nasıl çalışır

Baypas stratejisi, Microsoft'un yazılım devi tarafından oluşturulan ve dijital olarak imzalanan güvenilir ikili dosyalara atanan otomatik yükseltme durumundan yararlanır. Bu, güvenilen ikili dosyaların güvenlik düzeyine rağmen başlatıldığında bir UAC penceresi göstermediği anlamına gelir. Nelson blogunda ayrıca şöyle açıkladı:

SysInternals aracı “sigcheck“ aracını kullanarak bu otomatik kaldırma ikili dosyalarının daha fazlasını ararken “sdclt.exe” ile karşılaştım ve tezahürü nedeniyle otomatik olarak arttığını doğruladım.

Sdclt.exe dosyasının yürütme akışını gözlemlerken, bu ikili kodun yüksek bütünlük bağlamında bir Denetim Masası öğesini açmak için control.exe'yi başlattığı açıktır.

Sdclt.exe ikili, Microsoft'un Windows 7 ile birlikte sunduğu yerleşik Yedekleme ve Geri Yükleme yardımcı programıdır. Nelson, sdclt.exe dosyasının, bir kullanıcı yardımcı programı açtığında Yedekleme ve Geri Yükleme ayarları sayfasını yüklemek için Denetim Masası ikili dosyasını kullandığını açıkladı.

Ancak, sdclt.exe, control.exe dosyasını yüklemeden önce control.exe'nin uygulama yolunu edinmek için yerel Windows Kayıt Defteri'ne bir sorgu gönderir. Araştırmacı, düşük ayrıcalık seviyesine sahip kullanıcıların kayıt defteri anahtarlarını değiştirebildiği için bunun bir sorun teşkil ettiğini kabul ediyor. Dahası, saldırganlar bu kayıt defteri anahtarını değiştirebilir ve kötü amaçlı yazılımlara yönlendirebilir. Windows daha sonra uygulamaya güvenir ve sdclt.exe otomatik olarak yükseltildiğinden UAC istemlerini geri çeker.

Baypas tekniğinin yalnızca Windows 10 için geçerli olduğunu belirtmekte fayda vardır. Nelson, Windows 10 103150'deki hack'i bile test etti. Güvenlik açığını gidermek için araştırmacı, kullanıcıların UAC düzeyini "Her Zaman Bildir" olarak ayarlamasını veya geçerli olanı kaldırmasını önerir Yerel Yöneticiler grubundaki kullanıcı.