Microsoft memperbaiki Eventvwr.exe UAC Bypass Exploit di Windows 10 Creators Update
Saat Anda masuk sebagai administrator, binari Windows yang memiliki tingkat eksekusi yang disetel ke properti "tertinggi yang tersedia" dan "autoelevate" yang disetel ke "benar" dalam manifes, secara otomatis mulai ditingkatkan tanpa menampilkan perintah Kontrol Akun Pengguna.
uac bypass exploit eventvwr.exe
Task Manager (Taskmgr.exe) dan Eventvwr.exe adalah dua contohnya. Pernahkah Anda memperhatikan bahwa Pengelola Tugas berjalan ditinggikan secara default, tetapi tidak menunjukkan permintaan UAC saat Anda masuk sebagai administrator?
Peneliti keamanan Matt Nelson (@enigma0x3 di Twitter) menulis tentang bypass atau eksploitasi UAC yang menggunakan eventvwr.exe. Eventvwr.exe pada dasarnya adalah program peluncur yang mengeksekusi %systemroot%\system32\eventvwr.msc menggunakan metode ShellExecute.
Apa yang dimaksud (ShellExecute) adalah bahwa sistem menggunakan informasi asosiasi file .MSC untuk meluncurkan executable yang sesuai yang membuka file MSC. Karena program induk eventvwr.exe berjalan ditinggikan secara default, proses anak juga berjalan tinggi.
Bypass UAC menggunakan peretasan registri
Ketika eventvwr.exe (shell) mengeksekusi file eventvwr.msc, Windows, daripada menggunakan info asosiasi file di bawah HKEY_LOCAL_MACHINE\Software\Classes\mscfile, tanyakan cabang di sini:
HKEY_CLASSES_ROOT\mscfile
FYI, HKEY_CLASSES_ROOT hanyalah tampilan gabungan yang berisi kunci, subkunci, dan nilai dari dua lokasi ini:
HKEY_CURRENT_USER\Software\Classes
HKEY_LOCAL_MACHINE\Software\Classes
Dan jika kunci dan nilai identik ada di bawah keduanya, yang di bawah HKEY_CURRENT_USER diutamakan. Jadi, Anda dapat membajak HKEY_CLASSES_ROOT\mscfile dengan membuat kunci berikut:
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
uac bypass exploit eventvwr.exe
Program atau skrip jahat dapat mengatur data nilai (default) yang sesuai, sehingga perintah/skrip PowerShell dapat dijalankan dengan hak administratif penuh/integritas tinggi, bahkan tanpa sepengetahuan pengguna.
uac bypass exploit eventvwr.exe
Jadi, dengan membajak HKEY_CLASSES_ROOT, eventvwr.exe dapat digunakan secara efektif sebagai program peluncur untuk mengeksekusi program apa pun secara sewenang-wenang — bahkan mengunduh muatan ransomware dari server jarak jauh dan menjalankannya menggunakan PowerShell.exe, di bawah hak istimewa admin.
Ini adalah metode bypass UAC yang sangat efektif karena tidak memerlukan menjatuhkan file, injeksi DLL atau apa pun. Tentu saja, eksploitasi UAC ini hanya berfungsi saat Anda masuk sebagai administrator.
Ini telah berubah di Pratinjau Pembaruan Pembuat Konten 15007. Untungnya, Microsoft telah memperbaiki eventvwr.exe di 15007 — itu tidak lagi menjalankan file MSC. Alih-alih, ini membuat proses MMC.exe secara langsung — asosiasi file tidak digunakan.
Terima kasih kepada Matt Nelson (@enigma0x3) yang menemukan metode pintas ini, dan kepada FireF0X (@hFireF0X) yang memberi tahu bahwa masalah ini diselesaikan pada 15007 di mana eventvwr.exe menggunakan CreateProcess untuk meluncurkan mmc.exe alih-alih ShellExecute. Lihat juga: Microsoft Windows – Eskalasi Hak Istimewa Bypass Perlindungan UAC Fileless
______ _