UAC バイパス
UAC バイパス とは何ですか?
UAC バイパスWindows でユーザー確認なしに中整合性プロセスを高整合性へ昇格させる手法。通常は自動昇格属性を持つ署名済みバイナリを悪用する。
ユーザーアカウント制御(UAC)は管理者セッションを、フィルタされた中整合性トークンと、同意プロンプト経由でのみ得られる高整合性トークンに分けます。UAC バイパスは、fodhelper.exe、eventvwr.exe、computerdefaults.exe、sdclt.exe など、確認なしで高整合性で起動する自動昇格バイナリを悪用します。HKCU\Software\Classes\ms-settings\Shell\Open\command や mscfile の shell\open\command といったレジストリキー、もしくは DLL 検索パスを乗っ取り、信頼されたプロセスに高整合性トークンで任意コードを実行させます。UACME などの公開カタログに数十の手法が整理されています。対策は UAC を「常に通知する」に設定、組み込み管理者の Admin Approval Mode、ASR、AppLocker/WDAC、そして日常的にローカル管理者を使わないことです。
● 例
- 01
HKCU\Software\Classes\ms-settings\Shell\Open\command を設定し fodhelper.exe を起動して高整合性シェルを得る。
- 02
sdclt.exe が使う COM ハンドラを乗っ取り、昇格権限で悪意ある DLL を読み込ませる。
● よくある質問
UAC バイパス とは何ですか?
Windows でユーザー確認なしに中整合性プロセスを高整合性へ昇格させる手法。通常は自動昇格属性を持つ署名済みバイナリを悪用する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
UAC バイパス とはどういう意味ですか?
Windows でユーザー確認なしに中整合性プロセスを高整合性へ昇格させる手法。通常は自動昇格属性を持つ署名済みバイナリを悪用する。
UAC バイパス はどのように機能しますか?
ユーザーアカウント制御(UAC)は管理者セッションを、フィルタされた中整合性トークンと、同意プロンプト経由でのみ得られる高整合性トークンに分けます。UAC バイパスは、fodhelper.exe、eventvwr.exe、computerdefaults.exe、sdclt.exe など、確認なしで高整合性で起動する自動昇格バイナリを悪用します。HKCU\Software\Classes\ms-settings\Shell\Open\command や mscfile の shell\open\command といったレジストリキー、もしくは DLL 検索パスを乗っ取り、信頼されたプロセスに高整合性トークンで任意コードを実行させます。UACME などの公開カタログに数十の手法が整理されています。対策は UAC を「常に通知する」に設定、組み込み管理者の Admin Approval Mode、ASR、AppLocker/WDAC、そして日常的にローカル管理者を使わないことです。
UAC バイパス からどのように防御しますか?
UAC バイパス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
UAC バイパス の別名は何ですか?
一般的な別名: ユーザーアカウント制御バイパス。