私たちが発行しているアンチウイルスタイムズでは、さまざまなデバイスを扱う際にユーザー特権を引き下げると同時に、製品技術を称賛するマーケティングエキスパートを信頼しないように警告しています。
###
研究者Matt GraeberとMatt Nelsonは、Windowsのユーザーアカウント制御機能をバイパスする新しい方法を発見しました。これは、不正な変更がシステムに行われないようにするために開発されました。
研究者は、Windows 10スケジューラでいくつかのデフォルトタスクを分析した際、プロセスの1つ(SilentCleanup)で、特権を持たないユーザーによって起動される可能性があるが、それは高い権限を持つことで実行されることを確認しました。専門家の説明によると、SilentCleanupファイルは、ディスククリーンアップユーティリティまたはCleanmgr.exeに関連付けられています。cleanmgr.exeを実行すると、プロセス権限は自動的にタスク設定で定義、関連付けられている最大レベルまで増加します。
ユーティリティを実行すると、ディスククリーンアップによって、 C:\Users\AppData\Local\TempにGUIDという新しいフォルダが作成されます。ここには、いくつかの.dllファイルとdismhost.exeがコピーされます。dismhost.exeを起動したら、 C:\Users\AppData\Local\Temp\<guid>から特定の順序で.dllファイルのアンロードを開始します。現在のユーザーは%TEMP%ディレクトリへの書き込みアクセス権を持っているため、dismhost.exeプロセスで使用されている.dllを偽装することは可能です。
詳細は以下をご覧ください。
(リンク »)
研究者Matt GraeberとMatt Nelsonは、Windowsのユーザーアカウント制御機能をバイパスする新しい方法を発見しました。これは、不正な変更がシステムに行われないようにするために開発されました。
研究者は、Windows 10スケジューラでいくつかのデフォルトタスクを分析した際、プロセスの1つ(SilentCleanup)で、特権を持たないユーザーによって起動される可能性があるが、それは高い権限を持つことで実行されることを確認しました。専門家の説明によると、SilentCleanupファイルは、ディスククリーンアップユーティリティまたはCleanmgr.exeに関連付けられています。cleanmgr.exeを実行すると、プロセス権限は自動的にタスク設定で定義、関連付けられている最大レベルまで増加します。
ユーティリティを実行すると、ディスククリーンアップによって、 C:\Users\AppData\Local\TempにGUIDという新しいフォルダが作成されます。ここには、いくつかの.dllファイルとdismhost.exeがコピーされます。dismhost.exeを起動したら、 C:\Users\AppData\Local\Temp\<guid>から特定の順序で.dllファイルのアンロードを開始します。現在のユーザーは%TEMP%ディレクトリへの書き込みアクセス権を持っているため、dismhost.exeプロセスで使用されている.dllを偽装することは可能です。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
