(UAC)
两位研究人员发现可将一组文件拷贝到“C:UsersAppDataLocalTemp”路径下,包括DismHost.exe这个可执行文件和一大堆DLL动态链接库文件。
磁盘清理会触发这些程序和加载DLL(LogProvider.dll是队列中的最后一个),这样就给他们以发动攻击的时间。
Nelson和Graeber创建了一个恶意脚本(也可以说是恶意软件),可查看本地文件系统在临时目录里创建的新文件夹。
当探测到上述任一文件的时候,立即替换掉LogProvider.dll并换成包含恶意操作的版本。
这种攻击方式叫做DLL注入(属于比较常见的攻击类型),但由于计划任务可通过一个普通用户账户+最高权限运行,“用户账户控制”(UAC)在此期间是完全默不作声的。
如果攻击者足够聪明,显然可以轻松感染普通用户账户,然后以管理员权限执行代码(通过微不足道的DLL劫持技术)。
好消息是,研究人员已于7月20号将问题反馈给了微软安全响应中心。但糟糕的是,该公司短期内无法提供修复。在此,我们推荐用户临时禁用任务、或不勾选 以最高权限运行 :
点击开始按钮->搜索 计划任务 ;
打开应用程序,路径为 Microsoft -> Windows -> DiskCleanup ;
使用右侧菜单,禁用任务、或取消问题勾选。
