UAC-Bypass
Was ist UAC-Bypass?
UAC-BypassWindows-Technik, die einen Prozess mit mittlerer Integritaet ohne Benutzerabfrage auf hohe Integritaet hebt, typisch ueber auto-elevierende signierte Programme.
Die User Account Control (UAC) teilt Admin-Sitzungen in einen gefilterten Medium-Integrity-Token und einen High-Integrity-Token, der nur ueber Zustimmungsdialoge zugaenglich ist. UAC-Bypasses missbrauchen Windows-Binaries mit Auto-Elevation, die ohne Prompt mit hoher Integritaet starten, etwa fodhelper.exe, eventvwr.exe, computerdefaults.exe oder sdclt.exe. Durch Manipulation bestimmter Registry-Schluessel (HKCU\Software\Classes\ms-settings\Shell\Open\command oder shell\open\command fuer mscfile) oder DLL-Suchpfade laesst der Angreifer das vertrauenswuerdige Programm beliebigen Code im High-Integrity-Token ausfuehren. Kataloge wie UACME dokumentieren Dutzende Techniken. Haerten: UAC auf "Immer benachrichtigen", Admin Approval Mode fuer eingebauten Administrator, ASR-Regeln, AppLocker/WDAC, im Alltag keine lokalen Adminkonten verwenden.
● Beispiele
- 01
HKCU\Software\Classes\ms-settings\Shell\Open\command setzen und fodhelper.exe starten, um eine High-Integrity-Shell zu erhalten.
- 02
Einen COM-Handler hijacken, den sdclt.exe verwendet, um eine schadhafte DLL mit erhoehten Rechten zu laden.
● Häufige Fragen
Was ist UAC-Bypass?
Windows-Technik, die einen Prozess mit mittlerer Integritaet ohne Benutzerabfrage auf hohe Integritaet hebt, typisch ueber auto-elevierende signierte Programme. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet UAC-Bypass?
Windows-Technik, die einen Prozess mit mittlerer Integritaet ohne Benutzerabfrage auf hohe Integritaet hebt, typisch ueber auto-elevierende signierte Programme.
Wie funktioniert UAC-Bypass?
Die User Account Control (UAC) teilt Admin-Sitzungen in einen gefilterten Medium-Integrity-Token und einen High-Integrity-Token, der nur ueber Zustimmungsdialoge zugaenglich ist. UAC-Bypasses missbrauchen Windows-Binaries mit Auto-Elevation, die ohne Prompt mit hoher Integritaet starten, etwa fodhelper.exe, eventvwr.exe, computerdefaults.exe oder sdclt.exe. Durch Manipulation bestimmter Registry-Schluessel (HKCU\Software\Classes\ms-settings\Shell\Open\command oder shell\open\command fuer mscfile) oder DLL-Suchpfade laesst der Angreifer das vertrauenswuerdige Programm beliebigen Code im High-Integrity-Token ausfuehren. Kataloge wie UACME dokumentieren Dutzende Techniken. Haerten: UAC auf "Immer benachrichtigen", Admin Approval Mode fuer eingebauten Administrator, ASR-Regeln, AppLocker/WDAC, im Alltag keine lokalen Adminkonten verwenden.
Wie schützt man sich gegen UAC-Bypass?
Schutzmaßnahmen gegen UAC-Bypass kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für UAC-Bypass?
Übliche alternative Bezeichnungen: UAC umgehen.
● Verwandte Begriffe
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- attacks№ 616
Living off the Land
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.