UACME项目中的UAC绕过技术深度解析：SilentCleanup与RequestTrace问题分析

前言

用户账户控制(UAC)作为Windows系统的核心安全机制，长期以来都是安全研究人员关注的重点。UACME项目作为研究Windows UAC绕过技术的标杆性开源项目，汇集了数十种不同的UAC绕过方法。本文将深入分析其中两种近期发现的UAC绕过技术：SilentCleanup任务的不完全修复问题以及Windows 11 24H2中新增的RequestTrace任务问题。

SilentCleanup任务UAC绕过技术分析

SilentCleanup任务是Windows系统中一个用于清理临时文件的计划任务，自Windows 8时代起就因其特殊的权限配置成为UAC绕过的目标。微软曾在2023年初尝试修补此问题，但最新研究发现该修复并不彻底。

技术原理

该绕过技术利用了SilentCleanup任务的两个关键特性：

1. 任务以高权限运行，但可由普通用户触发
2. 任务执行时会加载特定位置的DLL文件

攻击者通过环境变量操纵和DLL劫持技术，诱导系统加载非预期DLL而非合法系统文件，从而实现权限提升。

绕过修复的关键发现

微软的修复措施主要是在任务执行的命令行参数中添加了引号，但研究人员发现：

• 不同Windows版本对引号的处理不一致
• 通过同时尝试带引号和不带引号的路径变体，仍可成功实现绕过
• 该技术在Windows 10 22H2至Windows 11 24H2等多个版本上均有效

技术实现要点

1. 环境变量操纵：修改用户环境变量，重定向系统路径
2. DLL劫持：在可控路径放置非预期DLL
3. 路径变体尝试：同时测试带引号和不带引号的执行路径
4. 任务触发：通过计划任务接口启动高权限操作

Windows 11 24H2 RequestTrace任务新问题

Windows 11 24H2引入的新计划任务"RequestTrace"带来了新的UAC绕过机会，该任务与性能跟踪功能相关。

问题成因

RequestTrace任务设计存在以下问题：

1. 任务以高权限运行但可由普通用户触发
2. 任务执行时加载PerformanceTraceHandler.dll时未正确验证路径
3. 任务状态管理存在缺陷，可能被滥用

技术实现细节

1. DLL劫持：在可控目录放置非预期PerformanceTraceHandler.dll
2. 环境变量操纵：通过修改环境变量影响DLL加载路径
3. 任务状态控制：需要终止相关taskhostw.exe进程以确保任务正常触发
4. 注册表项处理：需确保系统能找到必要的注册表配置单元

特殊环境问题

在VMware环境中，该技术可能因以下原因失效：

1. VMware Tools的安装改变了系统行为
2. 注册表配置单元访问异常
3. 解决方案是通过创建目录联结(junction)解决路径问题

防御建议

针对此类UAC绕过技术，建议采取以下防护措施：

1. 计划任务权限审查：定期审核系统中的计划任务，确保没有不必要的高权限任务
2. DLL加载监控：监控异常位置的DLL加载行为
3. 环境变量保护：限制对关键环境变量的修改
4. 最小权限原则：确保所有计划任务仅拥有必要的最小权限
5. 系统更新：及时应用微软发布的安全更新

总结

UAC绕过技术的研究揭示了Windows安全机制中一些深层次的设计问题。SilentCleanup任务的不完全修复表明，即使是已知问题的修补也需要全面考虑各种边界条件。而RequestTrace任务的新问题则提醒我们，新功能的引入可能带来新的攻击面。这些发现不仅对安全研究人员有价值，也为系统管理员提供了加固系统的方向。

UACME项目持续收录和研究的这些技术，为推动Windows系统安全性的提升做出了重要贡献。通过分析这些问题，我们可以更好地理解权限控制机制的薄弱环节，从而设计更 robust 的安全防护方案。