{"id":190673,"date":"2017-05-24T03:49:00","date_gmt":"2017-05-24T01:49:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190673"},"modified":"2023-03-18T06:11:24","modified_gmt":"2023-03-18T05:11:24","slug":"windows10-neue-uac-bypassing-methode-fodhelper-exe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/24\/windows10-neue-uac-bypassing-methode-fodhelper-exe\/","title":{"rendered":"Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)"},"content":{"rendered":"

Gerade ist eine neue Methode bekannt geworden, um die Sicherheitsabfrage der Benutzerkontensteuerung unter Windows 10 mit fodhelper.exe <\/em>zu umgehen. Hier ein paar Informationen zum Thema UAC-Bypassing unter Verwendung der fodhelper.exe<\/em>.<\/p>\n

<\/p>\n

UAC und filtered Token, was ist das?<\/h2>\n

\"\"Sowohl Standard-Benutzerkonten als auch Administratorkonten bekommen bei der Anmeldung nur ein Standard-Sicherheitstoken (filtered Token), welches keine administrativen Berechtigungen verleiht. F\u00fcr administrative Aufgaben fordert der Prozess administrative Berechtigungen von Windows an. Das betreffende Sicherheitstoken bekommt der Prozess (seit Windows Vista) beim Aufruf \u00fcber die Benutzerkontensteuerung (User Account Control, UAC) zugeteilt.<\/p>\n

\"Funktionen<\/p>\n

Viele Windows-Funktionen, die administrative Berechtigungen erfordern, sind mit einem stilisierten Schild (siehe folgender Screenshot) gekennzeichnet und bei Anwahl erscheint dann die Abfrage der Benutzerkontensteuerung (UAC) zur Zuteilung des administrativen Sicherheitstokens. Das soll die ungewollte Ausf\u00fchrung administrativer Aufgaben verhindern, der Nutzer muss mit Administratorberechtigungen explizit zustimmen.<\/p>\n

UAC-Bypassing, was ist das?<\/h3>\n

In den Standardeinstellungen ist die Benutzerkontensteuerungsabfrage seit Windows 7 auf das nachfolgend gezeigte Level voreingestellt.<\/p>\n

\"UAC-Standard\"<\/p>\n

Benachrichtigungen durch die UAC erfolgen nicht, wenn unter einem Administratorkonto \u00c4nderungen an den Windows-Einstellungen vorgenommen werden. Sprich: Einem Administrator, der unter einem Administratorkonto arbeitet, werden bei einigen Funktionen ein paar Klicks erspart. Allerdings kann das durch Malware mit dem im Blog-Beitrag Erebus Ransomware und die ausgetrickste UAC<\/a>\u00a0 skizzierten UAC-Bypass-Ansatz ausgehebelt werden. Die Malware kann administrative Berechtigungen erlangen, ohne dass der Benutzer das mitbekommt. Dieser Vorgang wird als UAC-Bypassing bezeichnet.<\/p>\n

Abhilfe schafft entweder, den obigen Schieberegler auf die oberste Stellung zu setzen. Oder man arbeitet unter Standard-Benutzerkonten. Dann muss die Benutzerkontensteuerung explizit nachfragen (das Administratorkonto muss ja angegeben werden).<\/p>\n

Ich hatte das Thema etwas dedizierter im Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a> beleuchtet und darauf hingewiesen, dass unter Windows 10 viele Aufgaben in der neuen Einstellungen<\/em>-App zwingend unter Administatorkonten ausgef\u00fchrt werden m\u00fcssen (unter Standardbenutzerkonten fehlen die betreffenden Befehle). Tenor aus der Kommentarlage zum Artikel: Ist doch kein Problem, melde ich mich f\u00fcr diese Aufgaben am Administratorkonto an \u2026<\/p>\n

Die n\u00e4chste UAC-Bypassing Methode fodhelper.exe<\/em><\/h2>\n

Die Methode wurde von einem deutschen Studenten mit Namen Christian B. im Rahmen einer Masterarbeit zum Thema 'UAC Bypassing Methoden' entwickelt. Dazu hat er die im Blog-Beitrag Erebus Ransomware und die ausgetrickste UAC<\/a>\u00a0 skizzierte UAC-Bypass-Methode variiert. Statt auf die Ereignisanzeige (eventvwr.exe) zu setzen, verwendet er das Programm fodhelper.exe<\/em>. Dieses Programm kommt zum Einsatz, wenn man in der Einstellungen<\/em>-App auf die Kategorie Apps & Features <\/em>anw\u00e4hlt.<\/p>\n

<\/p>\n

Dann kann man den Hyperlink Optionale Features verwalten <\/em>anklicken, wodurch folgende Seite erscheint.<\/p>\n

<\/a><\/p>\n

\u00dcber Features hinzuf\u00fcgen <\/em>lassen sich dann weitere Features installieren (was administrative Berechtigungen erfordert). Bei fodhelper.exe <\/em>handelt es sich um eine 'trusted binary', die administrative Berechtigungen anfordert, ohne dass die Benutzerkontensteuerungsabfrage (unter einem Administratorkonto) angezeigt wird.<\/p>\n

Christian B. hat nun herausgefunden, dass Windows 10 beim Start der fodhelper.exe <\/em>in zwei Registrierungsschl\u00fcsseln nach zus\u00e4tzlichen Befehlen nachschaut. Diese geben an, was beim Start des Programms zu machen ist. Ein Registrierungsschl\u00fcssel liegt unter:<\/p>\n

HKey_Current_User\\Software\\Classes\\ms-settings\\shell\\open\\command\\(default)<\/code><\/pre>\n
Die Schl\u00fcssel in diesem Zweig sind editierbar \u2013 wobei es den obigen Eintrag ms-settings <\/em>in meinen Testmaschinen nicht gibt. Die Details sind in diesem Beitrag<\/a> beschrieben. Ein Malware-Autor kann diesen Ansatz verwenden, um \u00fcber einen Registrierungseintrag (z.B. per Skripting) einen Befehl mittels fodhelper.exe <\/em>mit administrativen Berechtigungen auszuf\u00fchren. Der Aufruf von fodhelper.exe <\/em>l\u00f6st keine Nachfrage der Benutzerkontensteuerung aus, weil er zu den vertrauensw\u00fcrdigen Elementen\/Befehlen geh\u00f6rt. Auf GitHub wurde ein Proof of Concept vorgestellt<\/a>, welches diesen Ansatz ausnutzt.<\/p>\n
Aktuell gibt es keinen Patch gegen diese UAC-Bypassing-L\u00fccke \u2013 helfen sollte nur das Arbeiten unter Standard-Benutzerkonten (sowie die Anpassung der UAC-Einstellungen auf die h\u00f6chste Stufe). Weitere Hinweise finden sich in diesem Bleeping Computer-Beitrag.<\/a><\/p>\n
Danke an die Blog-Leser, die mich in der Nacht bereits per Mail auf das Thema hinwiesen (hatte das seit gestern auf dem Radar, bin aber noch nicht dazu gekommen).<\/p><\/blockquote>\n
\u00c4hnliche Artikel:<\/strong>
\nErebus Ransomware und die ausgetrickste UAC<\/a>
\nWindows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a>
\nWindows: Fehlende Administratorrechte stopfen 94% aller Sicherheitsl\u00fccken!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Gerade ist eine neue Methode bekannt geworden, um die Sicherheitsabfrage der Benutzerkontensteuerung unter Windows 10 mit fodhelper.exe zu umgehen. Hier ein paar Informationen zum Thema UAC-Bypassing unter Verwendung der fodhelper.exe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[6218,4328,6217,4378],"class_list":["post-190673","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-fodhelper-exe","tag-sicherheit","tag-usb-bypassing","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190673"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190673\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}