Windows 10 Creators Update 미리보기 빌드 15007에서 Microsoft는 eventvwr.exe와 관련된 UAC 우회 방법을 수정 한 것으로 보입니다. 첫째, 이 우회는 어떻게 작동합니까?
관리자로 로그인하면 매니페스트에서 실행 수준이 "highestavailable"로 설정되고 "autoelevate"속성이 "true"로 설정된 Windows 바이너리가 사용자 계정 컨트롤 프롬프트를 표시하지 않고 자동으로 시작됩니다.
작업 관리자 (Taskmgr.exe)와 Eventvwr.exe가 이러한 두 가지 예입니다. 작업 관리자는 기본적으로 관리자 권한으로 실행되지만 관리자로 로그인 할 때 UAC 프롬프트가 표시되지 않는다는 것을 알고 계셨습니까?
보안 연구원 인 매트 넬슨 (Twitter의 @ enigma0x3)은 eventvwr.exe를 사용하는 UAC 우회 또는 악용에 대해 썼습니다. Eventvwr.exe는 본질적으로 ShellExecute 메서드를 사용하여 % systemroot % \ system32 \ eventvwr.msc를 실행하는 시작 프로그램입니다.
그 의미는 시스템이 .MSC 파일 연결 정보를 사용하여 MSC 파일을 여는 적절한 실행 파일을 시작한다는 것입니다. 부모 프로그램 인 eventvwr.exe는 기본적으로 관리자 권한으로 실행되므로 자식 프로세스도 관리자 권한으로 실행됩니다.
레지스트리 해킹을 사용한 UAC 바이 패스
eventvwr.exe (쉘)가 eventvwr.msc 파일을 실행하면 HKEY_LOCAL_MACHINE \ Software \ Classes \ mscfile 아래의 파일 연결 정보를 사용하지 않고 Windows가 여기에서 분기를 쿼리합니다.
HKEY_CLASSES_ROOT \ msc 파일
참고로, HKEY_CLASSES_ROOT는 다음 두 위치의 키, 하위 키 및 값을 포함하는 병합 된 뷰일뿐입니다.
HKEY_CURRENT_USER \ Software \ Classes HKEY_LOCAL_MACHINE \ Software \ Classes
동일한 키와 값이 둘 다 존재하면 HKEY_CURRENT_USER 아래의 키와 값이 우선합니다. 따라서 다음 키를 만들어 HKEY_CLASSES_ROOT\mscfile 을 가로 챌 수 있습니다.
HKEY_CURRENT_USER \ Software \ Classes \ mscfile \ shell \ open \ 명령
악의적 인 프로그램 또는 스크립트는 그에 따라 (default) 값 데이터를 설정할 수 있으므로 사용자가 몰라도 PowerShell 명령 / 스크립트를 완전한 관리 권한 / 높은 무결성으로 실행할 수 있습니다.
따라서 HKEY_CLASSES_ROOT를 가로 채어 eventvwr.exe를 효과적으로 실행 프로그램으로 사용하여 모든 프로그램을 임의로 실행할 수 있습니다. 심지어 원격 서버에서 랜섬웨어 페이로드를 다운로드하고 관리자 권한으로 PowerShell.exe를 사용하여 실행할 수도 있습니다.
파일 삭제, DLL 삽입 또는 기타 항목이 필요하지 않으므로 매우 효과적인 UAC 우회 방법입니다. 물론이 UAC 익스플로잇은 관리자로 로그인 한 경우에만 작동합니다.
이 업데이트는 크리에이터 업데이트 미리보기 빌드 15007에서 변경되었습니다. 다행히도 Microsoft는 15007 년에 eventvwr.exe를 수정했습니다. 더 이상 MSC 파일을 실행하지 않습니다. 대신 MMC.exe 프로세스를 직접 생성합니다. 파일 연결이 사용되지 않습니다.
이 우회 방법을 발견 한 Matt Nelson (@ enigma0x3)과이 문제가 15007 년에 해결되었다는 FireF0X (@ hFireF0X)에게 감사합니다. eventvwr.exe가 CreateProcess를 사용하여 ShellExecute 대신 mmc.exe를 시작 합니다. Microsoft Windows – 파일없는 UAC 보호 우회 권한 에스컬레이션
