{"id":220121,"date":"2019-07-04T16:48:18","date_gmt":"2019-07-04T14:48:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220121"},"modified":"2020-12-19T19:57:52","modified_gmt":"2020-12-19T18:57:52","slug":"windows-uac-ber-silentcleanup-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/04\/windows-uac-ber-silentcleanup-ausgehebelt\/","title":{"rendered":"Windows UAC &uuml;ber SilentCleanup ausgehebelt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Es gibt eine weitere Methode, um die Windows Benutzerkontensteuerung (UAC) schlicht auszuhebeln. Dabei ist nicht mal ein UAC-Bypassing erforderlich. Das Ganze l\u00e4uft \u00fcber die Aufgabe <em>SilentCleanup<\/em> der Aufgabenplanung.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/2e957f5ea54544e38d9b966fa5a3867f\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Leon hat mich vor einigen Tagen bereits per Mail auf den Beitrag <a href=\"https:\/\/packetstormsecurity.com\/files\/153460\/Windows-Escalate-UAC-Protection-Bypass-Via-SilentCleanup.html\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Escalate UAC Protection Bypass Via SilentCleanup<\/a> von Packet Storm-Security aufmerksam gemacht.<\/p>\n<h2>UAC \u00fcber SilentCleanup ausgehebelt<\/h2>\n<p>Es gibt eine Aufgabe im Windows Taskplaner namens \"SilentCleanup\", die, obwohl sie als Benutzer ausgef\u00fchrt wird, automatisch mit erh\u00f6hten Berechtigungen l\u00e4uft. Wenn dieser Task l\u00e4uft, wird die Datei <em>%windir%\\system32\\cleanmgr.exe <\/em>zur Datentr\u00e4gerbereinigung ausgef\u00fchrt. Das ist nicht so der Br\u00fcller. Aber es gibt einen speziellen Aspekt.<\/p>\n<p>Der Task <em>SilentCleanup<\/em> wird zwar unter dem Konto des Benutzers ausgef\u00fchrt, l\u00e4uft aber mit erh\u00f6hten Berechtigungen. Wenn der Benutzer die Umgebungsvariablen \u00e4ndern darf, lie\u00dfe sich die Umgebungsvariable <em>%windir%<\/em> (die normalerweise auf <em>C:\\Windows<\/em> verweist) so anpassen, dass der Verweis auf beliebige Ordner zeigt. \u00c4ndert man den Wert der Umgebungsvariablen <em>%windir% <\/em>auf <em>test<\/em>, wird alles, was in diesem Ordner liegt, als Administrator ausgef\u00fchrt.<\/p>\n<blockquote><p>Allerdings erfordert die \u00c4nderung einer Systemumgebungsvariable administrative Berechtigungen. Dabei wird unter Standardkonten eine UAC-Abfrage gezeigt. Das lie\u00dfe sich aber unter Administratorkonten per UAC-Bypassing austricksen.<\/p><\/blockquote>\n<p>Ist die Umgebungsvariable ge\u00e4ndert, wer hindert mich daran, einen Unterordner <em>system32 <\/em>in dem per Umgebungsvariable <em>%windir% <\/em>referenzierten Ordner anzulegen und ein Malware unter dem Namen <em>cleanmgr.exe <\/em>in den Zielordner zu kopieren? Schon habe ich den perfekten UAC-Bypassing-Mechanimus gefunden.<\/p>\n<p>Erg\u00e4nzender Hinweis: Der Entdecker der Schwachstelle hat ein C#-Programm auf der Seite ver\u00f6ffentlicht, das pr\u00fcft, ob das Benutzerkonto Mitglieder der Gruppe der Administratoren ist. Trifft dies zu, werden Befehle ausgef\u00fchrt, die einen Exploit simulieren.<\/p>\n<h2>Die Alternative w\u00e4re UAC-Bypassing<\/h2>\n<p>Der obige Ansatz ist ohne Tricks m\u00f6glich (solange die Systemumgebungsvariable ge\u00e4ndert werden kann). Es gibt aber auch das sogenannte UAC-Bypassing, bei dem Schadsoftware an administrative Berechtigungen heranzukommen versucht, ohne die Benutzerkontensteuerung auszul\u00f6sen. Der Hintergrund: Sowohl Standard-Benutzerkonten als auch Administratorkonten bekommen bei der Anmeldung nur ein Standard-Sicherheitstoken (filtered Token), welches keine administrativen Berechtigungen verleiht. F\u00fcr administrative Aufgaben fordert der Prozess administrative Berechtigungen von Windows an. Das betreffende Sicherheitstoken bekommt der Prozess (seit Windows Vista) beim Aufruf \u00fcber die Benutzerkontensteuerung (User Account Control, UAC) zugeteilt.<\/p>\n<p><img decoding=\"async\" title=\"Funktionen mit UAC-Kennzeichnung\" src=\"https:\/\/web.archive.org\/web\/20190705123222\/https:\/\/v14.imgup.net\/Kontoverwad586.jpg\" alt=\"Funktionen mit UAC-Kennzeichnung\" \/><\/p>\n<p>Viele Windows-Funktionen, die administrative Berechtigungen erfordern, sind mit einem stilisierten Schild (siehe folgender Screenshot) gekennzeichnet und bei Anwahl erscheint dann die Abfrage der Benutzerkontensteuerung (UAC) zur Zuteilung des administrativen Sicherheitstokens. Das soll die ungewollte Ausf\u00fchrung administrativer Aufgaben verhindern, der Nutzer muss mit Administratorberechtigungen explizit der Ausf\u00fchrung zustimmen.<\/p>\n<p>Beim UAC-Bypassing sucht man sich Methoden, um die Sicherheitsabfrage der Benutzerkontensteuerung zu umgehen. Und diese Ans\u00e4tze gibt es, wie ich in den nachfolgend verlinkten Blog-Beitr\u00e4gen gezeigt habe. Das Ganze ist auch nichts theoretisches, genau solche Ans\u00e4tze wurden von der Ransomware Erebus ausgenutzt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/24\/windows10-neue-uac-bypassing-methode-fodhelper-exe\/\">Windows 10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/02\/10\/erebus-ransomware-und-die-ausgetrickste-uac\/\">Erebus Ransomware und die ausgetrickste UAC<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt eine weitere Methode, um die Windows Benutzerkontensteuerung (UAC) schlicht auszuhebeln. Dabei ist nicht mal ein UAC-Bypassing erforderlich. Das Ganze l\u00e4uft \u00fcber die Aufgabe SilentCleanup der Aufgabenplanung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-220121","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220121"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220121\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}