Contournement d'UAC
Qu'est-ce que Contournement d'UAC ?
Contournement d'UACTechnique Windows qui eleve un processus d'integrite moyenne en integrite haute sans demander a l'utilisateur, generalement via des binaires signes auto-elevateurs.
Le User Account Control (UAC) divise la session admin en un jeton d'integrite moyenne filtre et un jeton haute integrite accessible uniquement via consentement. Les contournements UAC exploitent des executables Windows auto-elevateurs qui passent en haute integrite sans demander, comme fodhelper.exe, eventvwr.exe, computerdefaults.exe ou sdclt.exe. En detournant certaines cles du registre (HKCU\Software\Classes\ms-settings\Shell\Open\command, ou shell\open\command pour mscfile) ou des chemins de recherche DLL, un attaquant fait executer du code arbitraire au binaire de confiance sous le jeton eleve. Des catalogues comme UACME documentent des dizaines de techniques. Durcissement : UAC en "Toujours notifier", Admin Approval Mode pour l'admin integre, regles ASR, AppLocker/WDAC, ne pas utiliser de compte admin local au quotidien.
● Exemples
- 01
Definir HKCU\Software\Classes\ms-settings\Shell\Open\command puis lancer fodhelper.exe pour obtenir un shell haute integrite.
- 02
Detourner un handler COM utilise par sdclt.exe pour charger une DLL malveillante avec des droits eleves.
● Questions fréquentes
Qu'est-ce que Contournement d'UAC ?
Technique Windows qui eleve un processus d'integrite moyenne en integrite haute sans demander a l'utilisateur, generalement via des binaires signes auto-elevateurs. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Contournement d'UAC ?
Technique Windows qui eleve un processus d'integrite moyenne en integrite haute sans demander a l'utilisateur, generalement via des binaires signes auto-elevateurs.
Comment fonctionne Contournement d'UAC ?
Le User Account Control (UAC) divise la session admin en un jeton d'integrite moyenne filtre et un jeton haute integrite accessible uniquement via consentement. Les contournements UAC exploitent des executables Windows auto-elevateurs qui passent en haute integrite sans demander, comme fodhelper.exe, eventvwr.exe, computerdefaults.exe ou sdclt.exe. En detournant certaines cles du registre (HKCU\Software\Classes\ms-settings\Shell\Open\command, ou shell\open\command pour mscfile) ou des chemins de recherche DLL, un attaquant fait executer du code arbitraire au binaire de confiance sous le jeton eleve. Des catalogues comme UACME documentent des dizaines de techniques. Durcissement : UAC en "Toujours notifier", Admin Approval Mode pour l'admin integre, regles ASR, AppLocker/WDAC, ne pas utiliser de compte admin local au quotidien.
Comment se défendre contre Contournement d'UAC ?
Les défenses contre Contournement d'UAC combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Contournement d'UAC ?
Noms alternatifs courants : Bypass UAC, Contournement fodhelper.
● Termes liés
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
- attacks№ 331
Détournement de DLL
Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue.
- attacks№ 616
Living off the Land
Style operatoire ou l'attaquant abuse d'outils et de scripts legitimes deja installes sur le systeme cible au lieu de deposer son propre malware.