Вбудований додаток Event Viewer операційних систем Windows може бути використано зловмисниками для поводження контролю облікових записів користувачів (UAC) в версіях операційних систем Windows 7 і Windows 10. Відкрили цю можливість фахівці Метт Нельсон і Метт Грабер, які в кінці липня розповіли про іншу можливість обійти Windows UAC, із застосуванням утиліти Windows 10 «Очищення диска».

У першому випадку використовувався процес з високим рівнем доступу для копіювання файлів DLL в небезпечне місце, які потім застосовувалися в атаці, що проходить повз увагу UAC. На цей раз файли DLL не використовуються. Дослідники створили структуру взаємопов'язаних ключів реєстру Windows, до яких звертається процес Event Viewer (eventvwr. exe).

Вони кажуть, що подібного методу обійти контроль облікових записів раніше не спостерігалося, оскільки зазвичай були залучені ті чи інші файли.

Загрозу даного методу атаки можна знизити установкою настройки UAC на рівень «Завжди повідомляти» або усуненням поточного користувача з групи «Локальні адміністратори». Для моніторингу атаки потрібно переглянути нові записи реєстру в HKCUSoftwareClasses.

Microsoft не розглядає UAC як повноцінну функцію безпеки, однак розробники шкідливого ПО намагаються обійти контроль облікових записів для збереження своїх операцій в таємниці.