マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

セキュリティ強化するならユーザー権限の見直しが鍵?

2017年6月23日

株式会社Doctor Web Pacific


私たちが発行しているアンチウイルスタイムズでは、さまざまなデバイスを扱う際にユーザー特権を引き下げると同時に、製品技術を称賛するマーケティングエキスパートを信頼しないように警告しています。

研究者Matt GraeberとMatt Nelsonは、Windowsのユーザーアカウント制御機能をバイパスする新しい方法を発見しました。これは、不正な変更がシステムに行われないようにするために開発されました。

研究者は、Windows 10スケジューラでいくつかのデフォルトタスクを分析した際、プロセスの1つ(SilentCleanup)で、特権を持たないユーザーによって起動される可能性があるが、それは高い権限を持つことで実行されることを確認しました。専門家の説明によると、SilentCleanupファイルは、ディスククリーンアップユーティリティまたはCleanmgr.exeに関連付けられています。cleanmgr.exeを実行すると、プロセス権限は自動的にタスク設定で定義、関連付けられている最大レベルまで増加します。

ユーティリティを実行すると、ディスククリーンアップによって、 C:\Users\AppData\Local\TempにGUIDという新しいフォルダが作成されます。ここには、いくつかの.dllファイルとdismhost.exeがコピーされます。dismhost.exeを起動したら、 C:\Users\AppData\Local\Temp\<guid>から特定の順序で.dllファイルのアンロードを開始します。現在のユーザーは%TEMP%ディレクトリへの書き込みアクセス権を持っているため、dismhost.exeプロセスで使用されている.dllを偽装することは可能です。

#drweb

研究者は資料をMicrosoftに提供し、また、UACのメカニズムはセキュリティ機能に属していないため、この問題は脆弱ではないと指摘しました。

https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/

http://www.securitylab.ru/news/483201.php

このニュースでわかることは以下の点です。

  • ユーザーが権限を下げて作業しているにもかかわらず、いくつかのユーティリティでは、より高度な権限を使用している。
  • 管理者の特権とは異なるユーザー特権での作業は、感染のリスクを大幅に低減するものの、救済策ではない。
  • 許可されたプログラムのホワイトリストの使用は救済策にはならず、攻撃はライブラリを置き換えることによって実行される。
  • 実行中のアプリケーションの完全制御は万能薬ではない。コードは実行中のプロセスに注入されず、プロセスはすぐに悪意のある機能で起動する。
#vulnerability #anti-virus #security

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments