{"id":278826,"date":"2023-03-18T07:03:34","date_gmt":"2023-03-18T06:03:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278826"},"modified":"2023-03-18T09:14:41","modified_gmt":"2023-03-18T08:14:41","slug":"windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/18\/windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner\/","title":{"rendered":"Windows 10\/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner"},"content":{"rendered":"

\"Windows\"Im aktuellen Blog-Beitrag geht es um einen Test f\u00fcr Windows 10\/11-Systeme mit installiertem Fremdvirenscanner und die Frage, ob diese \"Sicherheitstools\" einen Programmaufruf \u00fcber FoDHelper.exe<\/em> erkennen und blockieren. Der Test kann eigentlich auf jedem System, auch ohne Administratorrechte, ausgef\u00fchrt werden und erfordert im einfachsten Fall lediglich Copy & Paste von wenigen Anweisungen.<\/p>\n

<\/p>\n

\"\"Hintergrund des Ganzen ist die Frage von Sicherheitsexperte Stefan Kanthak, wie sich Systeme unter Windows 10 und Windows 11 verhalten, wenn ein Virenscanner von einem Drittanbieter installiert ist. Stefan Kanthak bittet darum, dass Benutzer unter Windows 10 oder Windows 11 den nachfolgend beschriebenen Test durchf\u00fchren.<\/p>\n

UAC-Bypassing mit FoDHelper.exe<\/h2>\n

Die Methode wurde von einem deutschen Studenten mit Namen Christian B. im Rahmen einer Masterarbeit zum Thema 'UAC Bypassing Methoden' entwickelt. Dazu hat er die im Blog-Beitrag Erebus Ransomware und die ausgetrickste UAC<\/a>\u00a0 skizzierte UAC-Bypass-Methode variiert. Statt auf die Ereignisanzeige (eventvwr.exe<\/em>) zu setzen, verwendet er das Programm fodhelper.exe<\/em>. Dieses Programm kommt zum Einsatz, wenn man in der Einstellungen<\/em>-App auf die Kategorie Apps & Features <\/em>anw\u00e4hlt.<\/p>\n

Bei fodhelper.exe <\/em>handelt es sich um eine 'trusted binary', die administrative Berechtigungen anfordert, ohne dass die Benutzerkontensteuerungsabfrage (unter einem Administratorkonto) angezeigt wird. Christian B. hat nun herausgefunden, dass Windows 10 beim Start der fodhelper.exe <\/em>in zwei Registrierungsschl\u00fcsseln nach zus\u00e4tzlichen Befehlen nachschaut.<\/p>\n

Die Details hatte ich im Mai 2017 im Blog-Beitrag Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe) beschrieben<\/a>.\u00a0 Die Methode wird auch auf Pentesting-Seiten wie pentestlab.org<\/em> (siehe UAC Bypass \u2013 Fodhelper<\/a>) beschrieben – und auf GitHub gibt es das PowerShell-Script FodhelperUACBypass.ps1<\/a>.<\/p>\n

Der UAC-Bypassing-Test<\/h2>\n

Der betreffende Test kann in Form eines Batch-Programms unter Windows 10\/11 ausgef\u00fchrt werden. Kopiert euch f\u00fcr den Test die nachfolgenden Batchanweisungen in eine Datei FoDHelper.bat<\/em>.<\/p>\n

REG.exe ADD HKEY_CURRENT_USER\\Software\\Classes\\qUACkery\\Shell\\Open\\Command \/VE \/T REG_SZ \/D \"%COMSPEC%\" \/F\r\nREG.exe ADD HKEY_CURRENT_USER\\Software\\Classes\\MS-Settings\\CurVer \/VE \/T REG_SZ \/D \"qUACkery\" \/F\r\nFoDHelper.exe\r\nREG.exe DELETE HKEY_CURRENT_USER\\Software\\Classes\\MS-Settings \/F\r\nREG.exe DELETE HKEY_CURRENT_USER\\Software\\Classes\\qUACkery \/F<\/code><\/pre>\n
Gegebenenfalls f\u00fcgt ihr am Ende des Batch-Programms noch einen Pause<\/em>-Befehl ein, um das Schlie\u00dfen des Fensters der Eingabeaufforderung solange zu verhindern, bis eine Taste gedr\u00fcckt wurde. F\u00fcr den Test ist das aber nicht erforderlich.<\/p>\n
Den Test ausf\u00fchren<\/h3>\n
Im Anschluss ist dieses Batchprogramm unter Windows auszuf\u00fchren – es reicht, die .bat-Datei per Doppelklick aufzurufen. Mein Vorschlag ist, den Test unter einem Standardbenutzerkonto und einem Administratorkonto auszuf\u00fchren. Beobachtet dann, was passiert und beschreibt es in den Kommentaren.<\/p>\n
Sofern ein Administrator die Ausf\u00fchrung von Batch-Skripten per SAFER, AppLocker oder WDAC unterbunden hat, l\u00e4sst sich eine Eingabeaufforderung starten und die obigen f\u00fcnf Zeilen per Copy & Paste einf\u00fcgen.<\/p><\/blockquote>\n
Was ich beobachtet habe<\/h3>\n
Wird die FoDHelper.exe<\/em>-Methode aus dem Batchprogramm unter einem Standardbenutzerkonto aufgerufen, kommt bei mir unter Windows 10 22H2 (mit dem Defender als Virenschutz) eine Benutzerkontenabfrage (hatte ich erwartet). Im Anschluss an die Best\u00e4tigung der UAC-Abfrage wird die Einstellungsseite Optionale Features <\/em>ge\u00f6ffnet (siehe folgender Screenshot).<\/p>\n
\"Windows<\/p>\n
Wird das Batchprogramm dagegen unter einem Administratorkonto ausgef\u00fchrt, startet das Ganze ohne dass eine Benutzerkontensteuerung anschl\u00e4gt (es sei denn, die UAC-Berechtigungsabfrage steht auf der h\u00f6chsten Stufe – siehe auch meine Hinweise im Blog-Beitrag Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe) beschrieben<\/a>). Anschlie\u00dfend sollte nichts passieren, sondern das Fenster der Eingabeaufforderung wird geschlossen.<\/p>\n
Interessant w\u00e4re, ob bei installiertem Drittanbieter Virenscanner und Aufruf aus einem Administratorenkonto die Einstellungsseite Optionale Features<\/em> angezeigt wird. In diesem Fall h\u00e4tte der Fremdvirenscanner den Defender deaktiviert, ohne den obigen Aufruf von FoDHelper.exe <\/em>abzufangen.<\/p>\n
Weitere Erkl\u00e4rungen zum Test<\/h2>\n
Stefan Kanthak bittet, diesen Test von der Leserschaft durchf\u00fchren zu lassen, weil hier im Blog h\u00e4ufig \u00fcber den Schutz von Drittanbieter-Virenscannern f\u00fcr Windows die Rede ist. Hierzu schrieb er mir folgende erg\u00e4nzende Informationen zum Hintergrund des obigen Tests:<\/p>\n