Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report) | ScanNetSecurity
2024.06.22(土)

Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report)

Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。

脆弱性と脅威 エクスプロイト
◆概要

Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。Windows 端末に攻撃者が侵入した場合やマルウェアが感染した場合に、当該手法を用いて端末の全権を掌握されてしまう可能性が考えられます。アカウントのグループ管理や UAC による制御を強化することにより対策することを推奨します。

----------------------------------------------------------------------
◆分析者コメント

Windows 10 では、インストール後の初期設定は 4 段階の UAC レベルの内、上から 2 番目に設定されており当該手法の影響を受けるため、影響範囲が広い攻撃手法であると考えられます。マルウェアに感染してしまった場合は、積極的に悪用される手法であると考えられるため、当該手法への対策を講じることを推奨します。また、当該手法はレジストリの書き込みと、 Windows 標準のプログラムを実行することにより行われるため、DLL の様なファイルが作成されず、早急な検知が難しいと考えられます。

----------------------------------------------------------------------
◆影響を受けるソフトウェア

Windows 7 よりも新しい Windows OS が、当該手法の影響を受けると公開されています。Windows Vista での影響は確認できていませんが、 Windows Vista 未満の Windows OS には UAC の機能が実装されていないため、当該手法の影響を受けないと考えられます。

----------------------------------------------------------------------
◆解説

Windows 7 より新しい Microsoft Windows OS にて、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、管理者権限により任意のコードが実行可能となる手法が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  10. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

ランキングをもっと見る