![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report)
Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。
脆弱性と脅威
エクスプロイト
Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。Windows 端末に攻撃者が侵入した場合やマルウェアが感染した場合に、当該手法を用いて端末の全権を掌握されてしまう可能性が考えられます。アカウントのグループ管理や UAC による制御を強化することにより対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
Windows 10 では、インストール後の初期設定は 4 段階の UAC レベルの内、上から 2 番目に設定されており当該手法の影響を受けるため、影響範囲が広い攻撃手法であると考えられます。マルウェアに感染してしまった場合は、積極的に悪用される手法であると考えられるため、当該手法への対策を講じることを推奨します。また、当該手法はレジストリの書き込みと、 Windows 標準のプログラムを実行することにより行われるため、DLL の様なファイルが作成されず、早急な検知が難しいと考えられます。
----------------------------------------------------------------------
◆影響を受けるソフトウェア
Windows 7 よりも新しい Windows OS が、当該手法の影響を受けると公開されています。Windows Vista での影響は確認できていませんが、 Windows Vista 未満の Windows OS には UAC の機能が実装されていないため、当該手法の影響を受けないと考えられます。
----------------------------------------------------------------------
◆解説
Windows 7 より新しい Microsoft Windows OS にて、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、管理者権限により任意のコードが実行可能となる手法が報告されています。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Microsoft Windows において AppXSvc での設定ファイルの取り扱い不備により任意のファイルのフルアクセス権限が取得可能となる脆弱性(Scan Tech Report)
Microsoft Windows において、任意のファイルのフルアクセス権限を取得することが可能となる脆弱性が報告されています。
-
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 全リスト
Black Hat USA ボードメンバーとして、2012年から応募論文の審査にあたる、鵜飼裕司氏に聞いた Black Hat USA 2019 Briefings 注目発表の、開催時刻順全リストを記載します。
-
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 (3) 全 4G モジュールがシェル取得可
15 種類以上のメジャーな 4G モジュールを対象に調査をしたところ、その全てでシェルを取得することができたという衝撃的な内容です。端的にいうといろいろなハッキング完全にできることになります。
-
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 (2) いたるところにバックドアの未来
バックドアってどこにあるのって考えたときに、メインの CPU 以外に見なきゃいけないとなってくると非常に大変で、その可能性が今後出てくるだろうというところです。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)
Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)
HTTP/2実装に、DoS攻撃を受ける複数の問題(JVN)
Bluetooth BR/EDRに中間者攻撃を受ける問題(JVN)
「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)
QRコードの飛び先はフィッシングサイト--MyEtherWallet偽メール(フィッシング対策協議会)
インシデント・事故 記事一覧へ
救急外来伝票を別人に誤交付、郵送で返却済(新潟県)
3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)
顧客情報ファイル誤送信、再発防止としてシステム導入決定(ボルボ・カー・ジャパン)
返還免除通知を別の連帯保証人に誤送付、少ない件数のためダブルチェック省く(鳥取県)
繁忙期のため管理不徹底「国民健康保険関係届」紛失(大阪市)
メール誤送信、添付ファイルサイズ制限で「安心一斉送信システム」使用できず(大阪府)
調査・レポート・白書 記事一覧へ
標的はファイアウォールの内側にあるIoTデバイスへ(NETSCOUT SYSTEMS)
正規ツールで監視を逃れる標的型攻撃が依然継続(トレンドマイクロ)
東南アジアのAPT攻撃減少するも、韓国への攻撃は多く発生--APTレポート(カスペルスキー)
サイバー犯罪とサイバーエスピオナージの二刀流「APT41」(ファイア・アイ)
ウクライナ大規模停電など、制御システム関連のサイバーインシデント事例3件公開(IPA)
BEC事例から実際の手口を紹介--J-CSIP運用状況(IPA)
研修・セミナー・カンファレンス 記事一覧へ
優勝賞金100万円「Trend Micro CTF 2019」9月7日オンライン予選(トレンドマイクロ)
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 全リスト
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 (3) 全 4G モジュールがシェル取得可
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 (2) いたるところにバックドアの未来
CODE BLUE 10月末に渋谷で開催、タリンマニュアル著者他講演(CODE BLUE実行委員会)
FFRI 鵜飼裕司の Black Hat USA 2019 注目発表 (1) SNS 操作産業
製品・サービス・業界動向 記事一覧へ
サイバーセキュリティ事業者に向けた「倫理行動宣言」(JNSA)
セキュアブラウザ新版、「FileZen」との連携機能など搭載(ソリトン)
デジタルリスク専門コンサルサービス開始、DX推進による需要見込む(NRIセキュア)
攻撃元IP等の情報をもとに機械学習でサイバー攻撃予測(TED)
攻撃検知AIエンジン「Cyneural」を開発、WAFで未知の攻撃を検知(サイバーセキュリティクラウド)
マルチクラウド環境などでの「IDベース」セキュリティ対策で協業(ラック、HashiCorp)
おしらせ 記事一覧へ
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
