
Windows özel karakter düzenleyicisini kullanıcı hesabı kontrolünü (UAC) atlamak ve kullanıcı müdahalesi olmadan ayrıcalık artışı elde etmek için dünya çapında sistem yöneticileri için önemli endişeler yaratan gelişmiş yeni bir teknik.
Matan Bahar’ın açıkladığı saldırı kaldırıyor eudcedit.exe
Microsoft’un yerleşik özel karakter editörü, C:\Windows\System32
Başlangıçta son kullanıcı tanımlı karakterler (EUDC) oluşturmak ve düzenlemek için tasarlanmıştır.
Bu özel karakterler, kullanıcıların belgelerde ve uygulamalarda kullanım için Unicode kod noktalarına eşlenmiş kişiselleştirilmiş glifler oluşturmalarına olanak tanır. Bununla birlikte, güvenlik araştırmacıları, bu görünüşte iyi huylu yardımcı programın Windows’un birincil güvenlik bekçisini atlamak için silahlandırılabileceğini keşfettiler.

Windows Kullanıcı Hesabı Denetimi Boyaslandı
Güvenlik açığı, Eudcedit.exe’nin uygulama tezahürüne gömülü kritik konfigürasyonlardan kaynaklanmaktadır. İki özel meta veri etiketi güvenlik boşluğunu oluşturur:
– Windows’u ikili olarak tam idari ayrıcalıklarla çalıştırmasını söyler
– Yöneticiler grubundaki kullanıcılar tarafından yürütüldüğünde, UAC güvenilir ikili dosyalar için UAC istemleri olmadan otomatik yüksekliği sağlar.true
Bu kombinasyon özellikle tehlikelidir. Bahar, UAC, “İstemeden Yükseltme” gibi izinli ayarlarla yapılandırıldığında, Windows Eudcedit.exe’yi herhangi bir güvenlik uyarısı göstermeden otomatik olarak orta ila yüksek bütünlük yükseltti.
Saldırı, uygulamanın dosya işleme mekanizmalarından yararlanan özenle hazırlanmış bir sırayla ortaya çıkıyor. Saldırganlar, otomatik olarak yüksek bütünlüğe yükselen özel karakter düzenleyicisini başlatarak başlar.
Daha sonra, tipik olarak dosya menüsünden erişilen uygulama arayüzü içindeki yazı tipi bağlama işlevlerine giderler.
Kullanıcılar yazı tipi bağlantı seçeneklerini seçtiğinde ve dosyaları kaydetmeleri istendiğinde kritik güvenlik açığı ortaya çıkar. Bu noktada, yükseltilmiş Eudcedit.exe işlemi, keyfi komutları yürütmek için manipüle edilebilir.
Dosya iletişim kutusuna sadece “PowerShell” girerek saldırganlar, üst işlemin yükseltilmiş bütünlük seviyesini devralan yüksek ayrı bir PowerShell oturumu ortaya çıkarabilir.

Microsoft’un UAC bypass’a yaklaşımı tarihsel kalıplarla tutarlı olmaya devam ediyor. UAC, bir güvenlik sınırı yerine kolaylık özelliği olarak tasarlandığından, şirket genellikle bypass teknikleri için yamalar yayınlamaz.
Eudcedit.exe UAC Bypass, saldırganların kötü niyetli hedeflere ulaşmak için meşru sistem kamu hizmetlerini nasıl silahlandırabileceğini gösteriyor. Bu tekniğin sadeliği ve etkinliği, kurumsal güvenlik ekipleri için önemli bir endişe haline getirir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın