Microsoft Windows において SilentCleanup Task での検証不備により UAC による権限制御が回避可能となる手法(Scan Tech Report) | ScanNetSecurity
2025.10.04(土)

Microsoft Windows において SilentCleanup Task での検証不備により UAC による権限制御が回避可能となる手法(Scan Tech Report)

2022 年 9 月に、Microsoft Windows OS での UAC による権限制御が回避可能となる手法のエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
https://github.com/hackerhouse-opensource/envschtasksuacbypass
https://github.com/hackerhouse-opensource/envschtasksuacbypass 全 1 枚 拡大写真
◆概要
 2022 年 9 月に、Microsoft Windows OS での UAC による権限制御が回避可能となる手法のエクスプロイトコードが公開されています。端末が管理者グループのアカウントで侵入されてしまった場合は、当該手法により管理者権限が奪取されてしまいます。OS の設定の見直しによる対策を推奨します。

◆分析者コメント
 UAC による制限の回避は、マルウェアなどによりローカル管理者グループのアカウントで Windows OS 端末への侵入に成功した攻撃者が権限を昇格するために悪用する可能性が高い手法です。UAC による制限を回避する手法のほとんどは、UAC の設定を最高レベル(「常に確認する」)に設定することで軽減可能ですが、本記事で取り上げている手法は UAC レベルの設定が最高レベルでも悪用可能であることを検証により確認しているため、Administrators グループに所属していないアカウントで端末を運用することが対策です。

◆影響を受けるソフトウェア
 Windows 8 から最新の Windows 11 までのすべての Windows OS で当該手法が悪用可能であると報告されています。

◆解説
 Microsoft Windows で、レジストリの設定により UAC による権限制御が回避可能となる手法が公開されています。

 公開された手法は、ディスクのクリーンアップ処理に使用される DiskCleanup という Schedule Task の権限制御不備を悪用するものです。DiskCleanup の Schedule Task では、実行するアカウントの環境変数を設定するレジストリ値の 1 つである windir に設定されたコマンドを、UAC による制御を無視した状態で実行します。よって、攻撃者は当該レジストリに実行したいコマンドを設定すると、ログオン中のアカウントが行使可能な最高権限でのコマンドを実行できます。

◆対策
 当該手法は UAC の設定を最高レベル(「常に通知する」)に設定したとしても権限昇格に成功することを確認しています。Administrators グループに所属していないアカウントで、日頃から端末を運用することで対策可能です。

◆関連情報
[1] GitHub
  https://github.com/hackerhouse-opensource/envschtasksuacbypass

◆エクスプロイト
 以下の Web サイトにて、当該手法により Administrators グループのアカウントから管理者権限への昇格を試みるエクスプロイトコードが公開されています。

  GitHub - hackerhouse-opensource/envschtasksuacbypass
  https://github.com/hackerhouse-opensource/envschtasksuacbypass/blob/main/EnvSchtasksUACBypass/EnvSchtasksUACBypass.cpp

//-- で始まる行は筆者コメントです。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  2. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  3. 日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」

    日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」PR

  4. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  5. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

ランキングをもっと見る
PageTop