Microsoft behebt Eventvwr.exe UAC Bypass Exploit in Windows 10 Creators Update

In Windows 10 Creators Update Preview Build 15007 scheint Microsoft die UAC-Bypass-Methode für eventvwr.exe behoben zu haben. Wie funktioniert dieser Bypass?

Wenn Sie als Administrator angemeldet sind, werden Windows-Binärdateien, deren Ausführungsstufe im Manifest auf "höchste Verfügbarkeit" und "Autoelevate" auf "true" festgelegt ist, automatisch erhöht, ohne dass die Eingabeaufforderung zur Benutzerkontensteuerung angezeigt wird.

Task Manager (Taskmgr.exe) und Eventvwr.exe sind zwei solche Beispiele. Haben Sie bemerkt, dass der Task-Manager standardmäßig mit erhöhten Rechten ausgeführt wird, aber keine UAC-Eingabeaufforderung anzeigt, wenn Sie als Administrator angemeldet sind?

Der Sicherheitsforscher Matt Nelson (@ enigma0x3 auf Twitter) schrieb über einen UAC-Bypass oder Exploit, der eventvwr.exe verwendet. Eventvwr.exe ist im Wesentlichen ein Startprogramm, das% systemroot% \ system32 \ eventvwr.msc mithilfe der ShellExecute-Methode ausführt.

Dies (ShellExecute) bedeutet, dass das System .MSC-Dateizuordnungsinformationen verwendet, um die entsprechende ausführbare Datei zu starten, mit der MSC-Dateien geöffnet werden. Da das übergeordnete Programm eventvwr.exe standardmäßig erhöht ausgeführt wird, wird der untergeordnete Prozess ebenfalls erhöht ausgeführt.

UAC-Bypass mit Registry-Hack

Wenn eventvwr.exe (Shell) die Datei eventvwr.msc ausführt, fragt Windows den Zweig hier ab, anstatt Dateizuordnungsinformationen unter HKEY_LOCAL_MACHINE \ Software \ Classes \ mscfile zu verwenden:

 HKEY_CLASSES_ROOT \ mscfile 

Zu Ihrer Information, HKEY_CLASSES_ROOT ist nur eine zusammengeführte Ansicht, die Schlüssel, Unterschlüssel und Werte von diesen beiden Positionen enthält:

 HKEY_CURRENT_USER \ Software \ Classes HKEY_LOCAL_MACHINE \ Software \ Classes 

Und wenn unter beiden identische Schlüssel und Werte vorhanden sind, haben die unter HKEY_CURRENT_USER Vorrang. Sie können also HKEY_CLASSES_ROOT\mscfile entführen, indem Sie den folgenden Schlüssel erstellen:

 HKEY_CURRENT_USER \ Software \ Classes \ mscfile \ shell \ open \ Befehl 

Ein Schadprogramm oder Skript kann die (default) Wertdaten entsprechend festlegen, sodass ein PowerShell-Befehl / Skript mit vollständigen Administratorrechten / hoher Integrität ausgeführt werden kann, ohne dass dies der Benutzer weiß.

Durch die Entführung von HKEY_CLASSES_ROOT kann eventvwr.exe effektiv als Startprogramm verwendet werden, um ein beliebiges Programm willkürlich auszuführen - sogar Ransomware-Nutzdaten von einem Remote-Server herunterladen und mit PowerShell.exe unter Administratorrechten ausführen.

Dies ist eine sehr effektive UAC-Bypass-Methode, da kein Löschen von Dateien, keine DLL-Injection oder sonstiges erforderlich ist. Natürlich funktioniert dieser UAC-Exploit nur, wenn Sie als Administrator angemeldet sind.

$config[ads_text6] not found

Dies hat sich in Creators Update Preview Build 15007 geändert. Zum Glück hat Microsoft eventvwr.exe im Jahr 15007 behoben - die MSC-Datei wird nicht mehr ausgeführt. Stattdessen wird direkt ein MMC.exe-Prozess erstellt - die Dateizuordnung wird nicht verwendet.

Vielen Dank an Matt Nelson (@ enigma0x3), der diese Bypass-Methode entdeckt hat, und an FireF0X (@ hFireF0X), der mitgeteilt hat, dass dieses Problem im Jahr 15007 behoben wurde, als eventvwr.exe CreateProcess verwendet, um mmc.exe anstelle von ShellExecute zu starten . Siehe auch: Microsoft Windows - Eskalation von fileless UAC Protection Bypass-Berechtigungen

Ähnlicher Artikel