Los investigadores de seguridad han observado nuevas muestras del troyano TrickBot, una de las herramientas de distribución de malware más prominentes actualmente en uso, que aprovechan el Bypass de Windows 10 WSReset UAC para infectar sigilosamente las máquinas que ejecutan Windows 10 con malware sin mostrar ningún aviso.
El Control de cuentas de usuario (UAC) es una función de seguridad en Windows diseñada para evitar cambios no autorizados en el sistema operativo iniciados por aplicaciones, usuarios o malware. El Control de cuentas de usuario se asegura de que ciertos cambios se realicen solo con la aprobación del administrador; de lo contrario, los cambios no se ejecutarán.
Según el análisis de MorphiSec de la nueva variante TrickBot, el proceso de omisión de WSReset UAC comienza con la comprobación de malware si el sistema ejecuta Windows 7 o Windows 10. Si determina que la máquina está ejecutando Windows 7, TrickBot utilizará la omisión CMSTPLUA UAC, y si el sistema ejecuta Windows 10, Trickbot aprovechará el Bypass WSReset UAC.
Descubierto en marzo de 2019, el Bypass WSReset UAC permite aprovechar el proceso WSReset.exe, que es un ejecutable firmado por Microsoft que se utiliza para restablecer la configuración de la Tienda Windows. Este binario tiene privilegios de autoelevación, lo que permite utilizar el Bypass WSReset UAC para la escalada de privilegios.
Para utilizar el Bypass de WSReset UAC, TrickBot descifra las cadenas del binario (como la ruta de registro y el comando para ejecutar) y luego agrega las claves relevantes usando "reg.exe". El paso final implica la ejecución de WSReset.exe, lo que permite que TrickBot se ejecute con privilegios elevados sin activar una solicitud de UAC. El malware lo hace usando la API 'ShellExecuteExW'. Este ejecutable final permite a Trickbot entregar su carga útil en estaciones de trabajo y otros puntos finales.
