可绕过 uac,微软 win10 / win11 系统中发现高危漏洞:可安装执行恶意软件 -j9九游会登陆入口
it之家 3 月 11 日消息,根据国外科技媒体 borncity 和 bleeping computer 报道,win10、win11 以及服务器版本存在一个严重的漏洞,可能导致巨大的安全灾难。
报告中指出攻击者可以通过创建“模拟文件夹”(mock folders)的方式,来存储恶意软件。在没有用户账户控制(uac)提示的情况下,攻击者可以获得管理员权限,绕过 applocker 或软件限制策略(简称 srp 或 safer),安装和执行恶意软件。
安全公司 sentinel one 在最新中解释了该攻击的工作原理,攻击者可以在系统中植入 remcos rat 恶意软件。
it之家根据博文内容汇总如下:攻击者首先发送包含 tar.lz 压缩格式附件的钓鱼电子邮件。一旦受害者下载并解压缩其中的 dbatloader 文件,这些文件通常通过使用重复的扩展名和 / 或应用程序图标将自己伪装成 microsoft office、libreoffice 或 pdf 文档,只是其中会包含 remcos rat 恶意软件。
dbatloader 会从公共云位置(google drive、onedrive)下载并执行混淆的第二阶段有效负载。
恶意软件会在 % public%\libraries 目录中创建并执行初始 windows 批处理脚本。此脚本滥用了一种已知的绕过 windows 用户账户控制(uac)的方法,其中通过在脚本末尾使用空格来伪造例如 % systemroot%\system32 受信任的目录。这允许攻击者在不提醒用户的情况下执行高级活动。