UAC 绕过
UAC 绕过 是什么?
UAC 绕过Windows 提权技术,在不提示用户的情况下将中完整性进程提升为高完整性,通常通过滥用具有自动提升属性的签名程序实现。
用户账户控制(UAC)将管理员会话拆分为受过滤的中完整性令牌和完整的高完整性令牌,后者只能通过同意提示获取。UAC 绕过则利用 fodhelper.exe、eventvwr.exe、computerdefaults.exe、sdclt.exe 等具有自动提升属性、可无提示运行于高完整性的系统程序。攻击者通过劫持特定注册表键(如 HKCU\Software\Classes\ms-settings\Shell\Open\command 或 mscfile 下的 shell\open\command)或 DLL 搜索路径,让这些受信进程在高完整性令牌下执行任意代码。UACME 等公开项目收录了数十种绕过技术。加固措施:将 UAC 设为 "始终通知"、为内置管理员启用管理员审批模式、配置 ASR 规则、使用 AppLocker/WDAC,并避免日常使用本地管理员账户。
● 示例
- 01
设置 HKCU\Software\Classes\ms-settings\Shell\Open\command 后启动 fodhelper.exe,获取高完整性 shell。
- 02
劫持 sdclt.exe 使用的 COM 处理器,使其以提升权限加载恶意 DLL。
● 常见问题
UAC 绕过 是什么?
Windows 提权技术,在不提示用户的情况下将中完整性进程提升为高完整性,通常通过滥用具有自动提升属性的签名程序实现。 它属于网络安全的 攻击与威胁 分类。
UAC 绕过 是什么意思?
Windows 提权技术,在不提示用户的情况下将中完整性进程提升为高完整性,通常通过滥用具有自动提升属性的签名程序实现。
UAC 绕过 是如何工作的?
用户账户控制(UAC)将管理员会话拆分为受过滤的中完整性令牌和完整的高完整性令牌,后者只能通过同意提示获取。UAC 绕过则利用 fodhelper.exe、eventvwr.exe、computerdefaults.exe、sdclt.exe 等具有自动提升属性、可无提示运行于高完整性的系统程序。攻击者通过劫持特定注册表键(如 HKCU\Software\Classes\ms-settings\Shell\Open\command 或 mscfile 下的 shell\open\command)或 DLL 搜索路径,让这些受信进程在高完整性令牌下执行任意代码。UACME 等公开项目收录了数十种绕过技术。加固措施:将 UAC 设为 "始终通知"、为内置管理员启用管理员审批模式、配置 ASR 规则、使用 AppLocker/WDAC,并避免日常使用本地管理员账户。
如何防御 UAC 绕过?
针对 UAC 绕过 的防御通常结合技术控制与运营实践,详见上方完整定义。
UAC 绕过 还有哪些其他名称?
常见的别称包括: 用户账户控制绕过, fodhelper 绕过, eventvwr 绕过。