リモートデスクトップを使用してローカルホストに接続してUACをバイパスしますか?
リモートデスクトップ(RDP)を使用して、パスワードを入力せずにコンピューターAからコンピューターBに接続できます。また、これら2つのコンピューターで同じアカウントを使用しているため、その逆も可能です。さらに、リモートデスクトップセッションでは、リモートコンピューターのUACプロンプトボタンをクリックできます。
RDPを使用してリモートコンピューターに接続し、それを使用してRDPに戻る(またはRDPを使用してlocalhostに接続する)ことでマルウェアがUACをバイパスするのを阻止し、UAC yesボタンをクリックする?
このマルウェアは、RDPプロトコル自体を簡単に実装することも、RDPセッションを開始してRDPセッションでマウスカーソルを動かすこともできます。
あなたは間違った質問をしている
UACは、管理者権限を持つユーザーに、ローカルマシンでの実行の開始からの(悪意のある可能性のある)プロセスを拒否するオプションを提供することにより、悪意のあるコードからの保護に役立つことを忘れないでください。
とはいえ、簡単に言うと、シナリオの例では、RDPを利用してUACをバイパスし、ローカルコンピューターに対して攻撃を仕掛けるコンピューター上のマルウェアについて説明しています。 この攻撃が機能するには、マルウェアがすでにコンピューター上で実行されている必要がありますUACをバイパスするための努力はまったく無意味です。
したがって、正しい質問は、悪意のあるプロセスが最初にコンピュータAのUACをバイパスできた方法です。
コンピューターBはどうですか?
投稿の直接クエリではありませんが、シナリオはコンピュータBに対する攻撃で機能する可能性があります。コンピュータAがすでに侵害されていることを許可すると、悪意のあるプログラムがRDPセッションを開始し、マウスの動きやキーストロークをコンピュータBに送信する可能性があります。 UACをバイパスするために必要です。
しかし、これは正当なセキュリティの脆弱性でもありません。
まず、Windowsのデフォルトの動作はnotです。
RDP(リモートデスクトップ)を使用して、パスワードを入力せずにコンピューターAからコンピューターBに接続できます。
これは、次のいずれかがある場合にのみ可能です。
- リモートコンピューター用に保存された資格情報(資格情報マネージャーに保存されます)、または
- デフォルトの資格情報の委任を許可する グループポリシーが構成されています。
これらはどちらもデフォルト構成には存在しません。これらの両方を「資格情報を保存した」と呼びます。
したがって、マルウェアによるコンピューターBへのRDP接続は、コンピューターAに資格情報を保存した場合にのみ可能です。コンピューターAのアカウントのコンテキストで実行されているコードは、保存された資格情報にアクセスできるため、それらを保存する行為は次のとおりです。宣言するのと同じです。「マルウェアを含め、ユーザーアカウントのコンテキストで実行されている現在または将来のコードを明示的に信頼します。」
コンピューターBのアクセス資格情報をコンピューターAに保存することにより、コンピューターBへのアクセスを制御するためのアクセス制御メカニズムを無効にします(少なくともコンピューターAから)。この事実を利用するコードは、OSレベルの脆弱性を悪用するのではなく、ユーザーが作成した脆弱性を悪用します。