Trickbot-malware verkrijgt adminrechten via Windows 10 UAC bypass

[Captain Kirk]

Onderzoekers hebben een nieuwe versie van de beruchte Trickbot-malware ontdekt die adminrechten weet te verkrijgen zonder dat gebruikers een melding van Windows 10 User Account Control (UAC) krijgen. UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als een programma met adminrechten wordt uitgevoerd, bijvoorbeeld om systeemwijzigingen door te voeren.

Het UAC-venster is afhankelijk van de rechten van de ingelogde gebruiker. Is de gebruiker ingelogd als administrator, dan zal het UAC-venster om toestemming vragen voor het uitvoeren van de software in kwestie. Is de gebruiker met verminderde rechten ingelogd, dan moet het adminwachtwoord worden ingevoerd. Bij het uitvoeren van vertrouwde Windows-bestanden zal er geen UAC-venster worden getoond.

Sommige van deze programma's kunnen andere applicaties starten die met adminrechten worden uitgevoerd zonder dat de gebruiker een UAC-waarschuwing te zien krijgt. Onlangs waarschuwde beveiligingsonderzoeker Vitali Kremez dat de Trickbot-malware het programma Fodhelper.exe gebruikte om adminrechten te verkrijgen, zonder dat gebruikers een UAC-venster te zien kregen. Dat UAC via Fodhelper is te omzeilen is al sinds 2017 bekend.

Nu blijkt dat de makers van Trickbot een nieuwe "Windows 10 UAC bypass" gebruiken, zo melden securitybedrijf Morphisec en Kremez. Dit keer maakt Trickbot gebruik van het vertrouwde Windows-programma Wsreset.exe, waarmee de Windows Store-cache is te resetten. Het is mogelijk om Wsreset zo aan te roepen dat het ook een aanvullende commando uitvoert, zoals het laden van malware. De malware draait hierdoor met adminrechten en de gebruiker krijgt hiervan geen melding te zien.

Zodra Trickbot adminrechten heeft gekregen kunnen er wachtwoorden en andere gegevens worden gestolen waarmee de malware zich lateraal door het netwerk kan bewegen. Vervolgens kan erop de besmette machines ransomware worden geïnstalleerd. Er zijn meerdere gevallen bekend waarbij Trickbot-infecties binnen organisaties tot grootschalige besmettingen met de Ryuk-ransomware hebben geleid. Volgens Bleeping Computer hebben UAC bypasses geen hoge prioriteit voor Microsoft en kan het enige tijd duren voordat ze worden verholpen, als Microsoft al met een oplossing komt.

 

 

bron: security.nl