Компютърен експерт намери начин да използва Windows Backup And Restore за зареждане на вредоносен код.
Специалистът в сферата на информационната безопасност Мат Нелсън (Matt Nelson) демонстрира нова техника за заобикаляне на защитния механизъм User Account Control (UAC) в ОС Windows 10. Новият метод използва Windows Backup And Restore заедно с промяна на пътищата до някои папки, указани в системния регистър.
Нелсън забеляза, че при стартирането на файла sdclt.exe, който всъщност е Backup And Restore, се използва файла control.exe за зареждането на контролния панел на програмата Backup And Restore. Но преди зареждането на control.exe, процесът sdclt.exe отправя запитване към локалния регистър на Windows за местонахождението на control.exe, което обикновено изглежда така:
HKCU:\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe
Експертът подчерта, че това е сериозен пропуск, понеже потребителите с ограничени права могат да модифицират тази част на системния регистър и да използват sdclt.exe за стартирането на вредоносен код. При това, Windows не показва никакви предупреждения.
Този метод работи единствено с Windows 10 и не засяга предишните версии на операционната система. Нелсън публикува PoC кода на атаката в GitHub.
