Bypass de UAC
¿Qué es Bypass de UAC?
Bypass de UACTecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion.
User Account Control (UAC) separa la sesion de administrador en un token de integridad media y otro de integridad alta accesible solo via consentimiento. Los bypasses explotan ejecutables de Windows con auto-elevacion que se elevan sin prompt, como fodhelper.exe, eventvwr.exe, computerdefaults.exe o sdclt.exe. Al secuestrar claves del registro especificas (HKCU\Software\Classes\ms-settings\Shell\Open\command o shell\open\command para mscfile) o rutas de DLL, el atacante hace que el binario confiado ejecute codigo arbitrario con el token elevado. Catalogos publicos como UACME documentan decenas de tecnicas. Endurecimiento: poner UAC en "Notificar siempre", activar Admin Approval Mode para el administrador integrado, reglas ASR, AppLocker/WDAC y no usar a diario una cuenta administradora local.
● Ejemplos
- 01
Modificar HKCU\Software\Classes\ms-settings\Shell\Open\command y ejecutar fodhelper.exe para obtener shell de integridad alta.
- 02
Secuestrar un handler COM usado por sdclt.exe para cargar una DLL maliciosa con privilegios.
● Preguntas frecuentes
¿Qué es Bypass de UAC?
Tecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Bypass de UAC?
Tecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion.
¿Cómo defenderse de Bypass de UAC?
Las defensas contra Bypass de UAC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Bypass de UAC?
Nombres alternativos comunes: Bypass de Control de cuentas de usuario.