Während die Benutzerzugriffssteuerung für Windows 10 mit Blick auf die Sicherheit entwickelt wurde, macht eine neue UAC-Umgehungstechnik, die vom Sicherheitsforscher Matt Nelson entdeckt wurde, die Sicherheitsmaßnahme unbrauchbar. Der Hack ist darauf angewiesen, die Pfade der Windows-Registrierungsanwendungen zu ändern und das Dienstprogramm zum Sichern und Wiederherstellen zu manipulieren, um bösartigen Code in das System zu laden.

Wie es funktioniert

Die Bypass-Strategie nutzt den Auto-Elevation-Status von Microsoft, der vertrauenswürdigen Binärdateien zugewiesen wird, die vom Softwareriesen erstellt und digital signiert werden. Das bedeutet, dass die vertrauenswürdigen Binärdateien trotz der Sicherheitsstufe kein UAC-Fenster anzeigen, wenn sie gestartet werden. Nelson erklärte weiter in seinem Blog:

Während ich mit dem SysInternals-Tool "sigcheck" nach weiteren dieser Binärdateien suchte, stieß ich auf "sdclt.exe" und verifizierte, dass sie aufgrund ihres Manifests automatisch angehoben werden.

Wenn Sie den Ausführungsfluss von sdclt.exe beobachten, wird deutlich, dass diese Binärdatei control.exe startet, um ein Element der Systemsteuerung in einem Kontext mit hoher Integrität zu öffnen.

Die Binärdatei "sdclt.exe" ist das integrierte Dienstprogramm "Sichern und Wiederherstellen", das Microsoft mit Windows 7 eingeführt hat. Nelson erklärte, dass die Datei "sdclt.exe" die Binärdatei "Systemsteuerung" verwendet, um die Seite "Sichern und Wiederherstellen" zu laden, wenn ein Benutzer das Dienstprogramm öffnet.

Sdclt.exe sendet jedoch eine Abfrage an die lokale Windows-Registrierung, um den Anwendungspfad von control.exe abzurufen, bevor control.exe geladen wird. Der Forscher erkennt die Tatsache an, dass dies ein Problem darstellt, da Benutzer mit geringen Berechtigungen Registrierungsschlüssel weiterhin ändern können. Darüber hinaus können Angreifer diesen Registrierungsschlüssel ändern und auf Malware verweisen. Windows würde dann der App vertrauen und UAC-Eingabeaufforderungen zurückziehen, da sdclt.exe automatisch erhöht wird.

Es sei darauf hingewiesen, dass die Umgehungstechnik nur für Windows 10 gilt. Nelson hat sogar den Hack für Windows 10 Build 15031 getestet. Um die Sicherheitslücke zu schließen, empfiehlt der Forscher, dass Benutzer die Benutzerkontensteuerung auf "Immer benachrichtigen" setzen oder die aktuelle entfernen Benutzer aus der Gruppe Lokale Administratoren.