Christian B. นักศึกษาระดับปริญญาโทจากเยอรมนี ค้นพบวิธีบายพาส Access Control (UAC) แบบใหม่บน Windows 10 ซึ่งอาศัยช่องโหว่ "Auto-elevation" บนเครื่องมือ Apps & features ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบรันโค้ดอันตรายหรือมัลแวร์ได้โดยไม่มีการแจ้งเตือนใดๆ
Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:Windowssystem32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด
เทคนิคที่ Christian B. ค้นพบนี้ เป็นวิธีคล้ายกับที่ Matt Nelson ค้นพบเมื่อเดือนสิงหาคมปี 2016 ที่ผ่านมา แต่วิธีของ Nelson จะใช้การบายพาส UAC ผ่านทางเครื่องมือ Event Viewer (eventvwr.exe) ในขณะที่ Christian B. ใช้ fodhelper.exe ซึ่งเป็นฟังก์ชัน "Manage optional features" บนเครื่องมือ Apps & features แทน
ทั้ง eventvwr.exe และ fodhelper.exe ต่างเป็นไฟล์ Binary ที่ระบบปฏิบัติการ Windows เชื่อถือ ทำให้ Windows 10 ไม่แสดงหน้าต่างแจ้งเตือน UAC ใดๆ เมื่อไฟล์เหล่านี้ถูกรัน ส่งผลให้ Nelson และ Christian B. ใช้ช่องโหว่ตรงจุดนี้ในการบายพาส UAC บน Windows 10
Christian B. ระบุว่า ระหว่างที่ fodhelper.exe กำลังรันอยู่ Windows 10 จะตรวจสอบ Registry Key 2 ค่า เพื่อดูว่ามีคำสั่งอื่นๆ ที่ต้องรันเพิ่มเติมหรือไม่ ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ทั่วไปก็สามารถแก้ไขหนึ่งใน Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถแก้ไขคำสั่งและใช้ fodhelper.exe ช่วยในการรันโดยไม่ติด UAC แต่อย่างใด
เทคนิคนี้สามารถใช้ร่วมกับการลอบส่งมัลแวร์เข้ามายังระบบคอมพิวเตอร์ได้ โดยแฮ็คเกอร์สามารถสั่งให้มัลแวร์รันสคริปต์เพื่อแก้ไข Registry Key ดังกล่าว ตามด้วยสั่งรัน fodhelper.exe ซึ่งจะไปเรียกคำสั่งบน Registry Key ที่แฮ็คเกอร์แก้ไขรอไว้ แล้วสั่งรันโดยที่ผู้ใช้ไม่ได้รู้ตัว และจะไม่มี UAC แจ้งเตือน เนื่องจาก fodhelper.exe เป็นไฟล์ Binary ที่ Windows เชื่อถือและมีฟีเจอร์ Auto-elevation
ผู้ที่สนใจสามารถดูโค้ด PoC ได้ผ่านทาง GitHub ซึ่งโค้ดนี้ไม่มีการทิ้งไฟล์ใดๆ ไว้บนฮาร์ดดิสก์ และรันตัวเองอยู่ใน Memory เท่านั้นรวมไปถึงไม่มีการยุ่งเกี่ยวกับไฟล์ DLL แต่อย่างใด
สำหรับวิธีการป้องกันการบายพาส UAC นั้น Christian B. ระบุว่า ให้ผู้ใช้เลิกใช้งานบัญชี Admin เป็นบัญชีตั้งค่าเริ่มต้นใช้งานของตนเอง และตั้งค่าระดับ UAC เป็น "Always Notify"
ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-apps-and-features-utility/
