Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report)

脆弱性と脅威 エクスプロイト

◆概要

Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。Windows 端末に攻撃者が侵入した場合やマルウェアが感染した場合に、当該手法を用いて端末の全権を掌握されてしまう可能性が考えられます。アカウントのグループ管理や UAC による制御を強化することにより対策することを推奨します。

----------------------------------------------------------------------
◆分析者コメント

Windows 10 では、インストール後の初期設定は 4 段階の UAC レベルの内、上から 2 番目に設定されており当該手法の影響を受けるため、影響範囲が広い攻撃手法であると考えられます。マルウェアに感染してしまった場合は、積極的に悪用される手法であると考えられるため、当該手法への対策を講じることを推奨します。また、当該手法はレジストリの書き込みと、 Windows 標準のプログラムを実行することにより行われるため、DLL の様なファイルが作成されず、早急な検知が難しいと考えられます。

----------------------------------------------------------------------
◆影響を受けるソフトウェア

Windows 7 よりも新しい Windows OS が、当該手法の影響を受けると公開されています。Windows Vista での影響は確認できていませんが、 Windows Vista 未満の Windows OS には UAC の機能が実装されていないため、当該手法の影響を受けないと考えられます。

----------------------------------------------------------------------
◆解説

Windows 7 より新しい Microsoft Windows OS にて、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、管理者権限により任意のコードが実行可能となる手法が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

    複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  4. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  5. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  6. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  7. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  8. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×