Bypass de UAC
¿Qué es Bypass de UAC?
Bypass de UACTecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion.
User Account Control (UAC) separa la sesion de administrador en un token de integridad media y otro de integridad alta accesible solo via consentimiento. Los bypasses explotan ejecutables de Windows con auto-elevacion que se elevan sin prompt, como fodhelper.exe, eventvwr.exe, computerdefaults.exe o sdclt.exe. Al secuestrar claves del registro especificas (HKCU\Software\Classes\ms-settings\Shell\Open\command o shell\open\command para mscfile) o rutas de DLL, el atacante hace que el binario confiado ejecute codigo arbitrario con el token elevado. Catalogos publicos como UACME documentan decenas de tecnicas. Endurecimiento: poner UAC en "Notificar siempre", activar Admin Approval Mode para el administrador integrado, reglas ASR, AppLocker/WDAC y no usar a diario una cuenta administradora local.
● Ejemplos
- 01
Modificar HKCU\Software\Classes\ms-settings\Shell\Open\command y ejecutar fodhelper.exe para obtener shell de integridad alta.
- 02
Secuestrar un handler COM usado por sdclt.exe para cargar una DLL maliciosa con privilegios.
● Preguntas frecuentes
¿Qué es Bypass de UAC?
Tecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Bypass de UAC?
Tecnica en Windows que eleva un proceso de integridad media a alta sin pedir al usuario, normalmente abusando de binarios firmados con auto-elevacion.
¿Cómo funciona Bypass de UAC?
User Account Control (UAC) separa la sesion de administrador en un token de integridad media y otro de integridad alta accesible solo via consentimiento. Los bypasses explotan ejecutables de Windows con auto-elevacion que se elevan sin prompt, como fodhelper.exe, eventvwr.exe, computerdefaults.exe o sdclt.exe. Al secuestrar claves del registro especificas (HKCU\Software\Classes\ms-settings\Shell\Open\command o shell\open\command para mscfile) o rutas de DLL, el atacante hace que el binario confiado ejecute codigo arbitrario con el token elevado. Catalogos publicos como UACME documentan decenas de tecnicas. Endurecimiento: poner UAC en "Notificar siempre", activar Admin Approval Mode para el administrador integrado, reglas ASR, AppLocker/WDAC y no usar a diario una cuenta administradora local.
¿Cómo defenderse de Bypass de UAC?
Las defensas contra Bypass de UAC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Bypass de UAC?
Nombres alternativos comunes: Bypass de Control de cuentas de usuario.
● Términos relacionados
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
- attacks№ 616
Living off the Land
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.