[You must be registered and logged in to see this image.]Компютърен експерт намери начин да използва Windows Backup And Restore за зареждане на вредоносен код.
Специалистът в сферата на информационната безопасност Мат Нелсън (Matt Nelson) демонстрира нова техника за заобикаляне на защитния механизъм User Account Control
(UAC) в ОС
Windows 10. Новият метод използва Windows Backup And Restore заедно с промяна на пътищата до някои папки, указани в системния регистър.
[You must be registered and logged in to see this image.]Нелсън забеляза, че при стартирането на файла sdclt.exe, който всъщност е Backup And Restore, се използва файла control.exe за зареждането на контролния панел на програмата Backup And Restore. Но преди зареждането на control.exe, процесът sdclt.exe отправя запитване към локалния регистър на Windows за местонахождението на control.exe, което обикновено изглежда така:
HKCU:SoftwareMicrosoftWindowsCurrentVersionApp Pathscontrol.exe[You must be registered and logged in to see this image.]Експертът подчерта, че това е сериозен пропуск, понеже потребителите с ограничени права могат да модифицират тази част на системния регистър и да използват sdclt.exe за стартирането на вредоносен код. При това, Windows не показва никакви предупреждения.
Този метод работи единствено с Windows 10 и не засяга предишните версии на операционната система. Нелсън публикува PoC кода на атаката в GitHub.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
