Hacker lợi dụng công cụ Windows “vượt rào” UAC, chiếm quyền quản trị hệ thống

[WhiteHat Team]

Các chuyên gia vừa công bố một lỗ hổng cho phép tin tặc bỏ qua cơ chế kiểm soát tài khoản người dùng (UAC) của Windows, qua đó nâng quyền quản trị mà không cần sự đồng ý từ người dùng.

​

Điểm đáng chú ý là kỹ thuật này không dựa vào phần mềm độc hại hay khai thác lỗ hổng phần mềm thông thường, mà lợi dụng chính công cụ hợp pháp có sẵn trong Windows - Private Character Editor (tập tin eudcedit.exe). Công cụ này vốn được Microsoft thiết kế để tạo và chỉnh sửa ký tự tùy chỉnh, nhưng lại vô tình trở thành “cửa ngỏ” để tin tặc leo thang đặc quyền.

Cách thức hoạt động của kỹ thuật bypass UAC này​

Theo phân tích của các huyên gia, điểm yếu nằm ở file manifest của "eudcedit.exe". File này chứa các chỉ thị cho hệ điều hành về cách khởi chạy ứng dụng. Trong đó có hai thẻ đặc biệt:

• <requestedExecutionLevel level="requireAdministrator" /> ⭢ yêu cầu chạy ứng dụng với quyền quản trị.
• <autoElevate>true</autoElevate> ⭢ cho phép Windows tự động cấp quyền admin mà không hiện thông báo UAC đối với các ứng dụng tin cậy khi người dùng thuộc nhóm Administrators.

Khi cấu hình UAC trên máy tính ở mức “Elevate without prompting” (tự nâng quyền mà không hỏi), việc mở "eudcedit.exe" sẽ lập tức khởi chạy ở mức quyền cao nhất.

Quy trình khai thác rất đơn giản:

1. Mở "eudcedit.exe".
2. Vào menu File → chọn Font Links → chọn tùy chọn thứ hai → nhấn Save As.
3. Trong hộp thoại lưu file, gõ “PowerShell” và xác nhận.

Kết quả: Một phiên PowerShell mới xuất hiện với quyền admin, hoàn toàn không cần nhập mật khẩu hay xác nhận UAC.

Điểm đáng sợ của phương thức tấn công này là nó không cần khai thác lỗi phần mềm, mà lợi dụng một công cụ hợp pháp của Windows (eudcedit.exe), vốn được cả hệ điều hành lẫn phần mềm bảo mật mặc định tin tưởng. Điều đó giúp tin tặc dễ dàng qua mặt các hệ thống giám sát. Chỉ với vài thao tác đơn giản, kẻ tấn công có thể từ quyền người dùng thường leo thang lên quyền quản trị viên, mở ra khả năng:

• Cài đặt và chạy mã độc mà không bị chặn.
• Truy cập, sao chép hoặc xóa dữ liệu nhạy cảm.
• Vô hiệu hóa các phần mềm diệt virus, tường lửa hoặc công cụ bảo vệ khác.

Tất cả các máy tính Windows có "eudcedit.exe" và cấu hình UAC ở chế độ cho phép tự động nâng quyền đều có nguy cơ bị khai thác. Nguy hiểm đặc biệt cao trong môi trường doanh nghiệp, nơi nhiều tài khoản người dùng thuộc nhóm Administrators để thuận tiện quản trị.

Khuyến cáo cho người dùng và doanh nghiệp:​

1. Kiểm tra và siết chặt cấu hình UAC
   • Nên đặt ở mức “Always notify” để buộc Windows hiển thị cảnh báo mỗi khi ứng dụng muốn chạy quyền admin.
2. Theo dõi tiến trình "eudcedit.exe"
   • Thiết lập giám sát bất thường với công cụ SOC/EDR để phát hiện khi tiện ích này bị gọi ngoài mục đích bình thường.
3. Nguyên tắc Least Privilege
   • Hạn chế tối đa việc cấp quyền Administrators cho tài khoản người dùng thông thường.
4. Đào tạo nhân viên
   • Nâng cao nhận thức về nguy cơ từ chính các công cụ hợp pháp của hệ điều hành.

WhiteHat​