Обход UAC
Что такое Обход UAC?
Обход UACТехника Windows: процесс среднего уровня целостности повышается до высокого без запроса у пользователя, обычно через автоповышающиеся подписанные исполняемые файлы.
User Account Control (UAC) делит сессию администратора на «отфильтрованный» токен средней целостности и полноценный токен высокой целостности, доступный только через диалог согласия. Обходы UAC эксплуатируют автоповышающиеся системные исполняемые файлы Windows (fodhelper.exe, eventvwr.exe, computerdefaults.exe, sdclt.exe и др.), которые получают высокую целостность без запроса. Подменяя определённые ключи реестра (HKCU\Software\Classes\ms-settings\Shell\Open\command или shell\open\command для mscfile) либо пути поиска DLL, атакующий заставляет доверенный процесс выполнить произвольный код с повышенными правами. Открытые каталоги вроде UACME описывают десятки техник. Защита: UAC в режим «Всегда уведомлять», Admin Approval Mode для встроенного администратора, правила ASR, AppLocker/WDAC и отказ от локального админа в повседневной работе.
● Примеры
- 01
Задать HKCU\Software\Classes\ms-settings\Shell\Open\command и запустить fodhelper.exe, чтобы получить shell высокой целостности.
- 02
Перехват COM-хендлера, используемого sdclt.exe, для загрузки вредоносной DLL с повышенными правами.
● Частые вопросы
Что такое Обход UAC?
Техника Windows: процесс среднего уровня целостности повышается до высокого без запроса у пользователя, обычно через автоповышающиеся подписанные исполняемые файлы. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Обход UAC?
Техника Windows: процесс среднего уровня целостности повышается до высокого без запроса у пользователя, обычно через автоповышающиеся подписанные исполняемые файлы.
Как работает Обход UAC?
User Account Control (UAC) делит сессию администратора на «отфильтрованный» токен средней целостности и полноценный токен высокой целостности, доступный только через диалог согласия. Обходы UAC эксплуатируют автоповышающиеся системные исполняемые файлы Windows (fodhelper.exe, eventvwr.exe, computerdefaults.exe, sdclt.exe и др.), которые получают высокую целостность без запроса. Подменяя определённые ключи реестра (HKCU\Software\Classes\ms-settings\Shell\Open\command или shell\open\command для mscfile) либо пути поиска DLL, атакующий заставляет доверенный процесс выполнить произвольный код с повышенными правами. Открытые каталоги вроде UACME описывают десятки техник. Защита: UAC в режим «Всегда уведомлять», Admin Approval Mode для встроенного администратора, правила ASR, AppLocker/WDAC и отказ от локального админа в повседневной работе.
Как защититься от Обход UAC?
Защита от Обход UAC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обход UAC?
Распространённые альтернативные названия: Обход контроля учётных записей.
● Связанные термины
- vulnerabilities№ 860
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- attacks№ 616
Living off the Land
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.