Bypass de UAC
O que é Bypass de UAC?
Bypass de UACTecnica no Windows que eleva um processo de integridade media para alta sem solicitar o utilizador, geralmente abusando de binarios assinados que se autoelevam.
O User Account Control (UAC) divide a sessao de administrador num token de integridade media filtrado e num token alto acessivel apenas por consentimento. Os bypasses de UAC abusam de executaveis do Windows que se autoelevam sem prompt, como fodhelper.exe, eventvwr.exe, computerdefaults.exe ou sdclt.exe. Manipulando determinadas chaves do registo (HKCU\Software\Classes\ms-settings\Shell\Open\command, ou shell\open\command para mscfile) ou caminhos de pesquisa de DLLs, o atacante leva o binario confiado a executar codigo arbitrario sob o token elevado. Catalogos como o UACME documentam dezenas de tecnicas. Endurecimento: UAC em "Notificar sempre", Admin Approval Mode para o administrador interno, regras ASR, AppLocker/WDAC e nao usar contas de admin local no dia a dia.
● Exemplos
- 01
Definir HKCU\Software\Classes\ms-settings\Shell\Open\command e lancar fodhelper.exe para obter uma shell de integridade alta.
- 02
Sequestrar um handler COM usado pelo sdclt.exe para carregar uma DLL maliciosa com privilegios elevados.
● Perguntas frequentes
O que é Bypass de UAC?
Tecnica no Windows que eleva um processo de integridade media para alta sem solicitar o utilizador, geralmente abusando de binarios assinados que se autoelevam. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Bypass de UAC?
Tecnica no Windows que eleva um processo de integridade media para alta sem solicitar o utilizador, geralmente abusando de binarios assinados que se autoelevam.
Como funciona Bypass de UAC?
O User Account Control (UAC) divide a sessao de administrador num token de integridade media filtrado e num token alto acessivel apenas por consentimento. Os bypasses de UAC abusam de executaveis do Windows que se autoelevam sem prompt, como fodhelper.exe, eventvwr.exe, computerdefaults.exe ou sdclt.exe. Manipulando determinadas chaves do registo (HKCU\Software\Classes\ms-settings\Shell\Open\command, ou shell\open\command para mscfile) ou caminhos de pesquisa de DLLs, o atacante leva o binario confiado a executar codigo arbitrario sob o token elevado. Catalogos como o UACME documentam dezenas de tecnicas. Endurecimento: UAC em "Notificar sempre", Admin Approval Mode para o administrador interno, regras ASR, AppLocker/WDAC e nao usar contas de admin local no dia a dia.
Como se defender contra Bypass de UAC?
As defesas contra Bypass de UAC costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Bypass de UAC?
Nomes alternativos comuns: Bypass de Controlo de Conta de Utilizador.
● Termos relacionados
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- attacks№ 616
Living off the Land
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.