NUEVA TECNICA DE BYPASS UAC

Nueva técnica de bypass UAC que se puede utilizar para instalar aplicaciones maliciosas en los dispositivos con Windows 10

El responsable del descubrimiento de este nuevo método de bypass UAC es un estudiante alemán con el nombre online de Christian B., actualmente trabajando en su tesis de maestría, centrado en técnicas de derivación de UAC.

La técnica que se le ocurrió es una variación de otro método de derivación de Windows 10 UAC descubierto por el investigador de seguridad Matt Nelson en el de agosto del año 2016.

Mientras que el método de Nelson usó la utilidad integrada de Visor de sucesos (eventvwr.exe), bypass UAC de Christian utiliza el archivo fodhelper.exe, ubicada en: C:\Windows\System32\fodhelper.exe

Este archivo es la ventana que aparece al pulsar la opción "Administrar características opcionales" en la pantalla de Configuración de Windows "Aplicaciones y características".

Ambas técnicas funcionan de la misma manera y se aprovechan de lo que se llama "auto-elevación", que es un estado que Microsoft asigna a los binarios de confianza (archivos firmados con certificado de Microsoft, y situado en lugares de confianza, como "C:\Windows\System32").

Al igual que eventvwr.exe, fodhelper.exe es también un binario de confianza, es decir, Windows 10 no se mostrará una ventana de UAC cuando se lanzó a la ejecución, o cuando otros procesos generan a partir del proceso padre fodhelper.exe.

UAC de derivación lleva a cuestas clave de registro

Lo que Christian descubrió fue que durante la ejecución del binario fodhelper.exe, Windows 10 miraría dos claves del registro para ejecutar comandos adicionales a la hora de lanzar el archivo.

Podría editar el valor de una de las claves del registro, el investigador fue capaz de transmitir órdenes a medida que se ejecutan en el contexto elevada del archivo fodhelper.exe. Esa clave de registro es: HKCU:\Software\Classes\ms-settings\shell\open\command\(default)

Esta técnica podría ser una arma si las ganancias de malware un punto de apoyo en el ordenador de un usuario. El malware podría utilizar secuencias de comandos para editar esa clave específica del registro, ejecute el archivo fodhelper.exe, el cual terminaría con los comandos maliciosos pasaron dentro de la clave de registro y ejecutarlos detrás de la espalda del usuario.

Debido a que el fodhelper.exe es un binario de auto-elevado y de confianza, Windows 10 no mostraría un mensaje de UAC, pensando en el archivo ejecuta los comandos de confianza.

El investigador ha publicado una prueba de concepto de código (PoC) en GitHub. Su método no suelta los archivos en el disco, sólo se ejecuta en la memoria del ordenador, y no secuestra cualquier DLL.

UAC de derivación se puede parar mediante un solo paso

A pesar de esto, el bypass UAC de Christian no es universal, ya que los usuarios tienen que formar parte del grupo de administradores del sistema operativo. Si bien en el papel esto suena como una gran restricción, esto no es realmente un problema tan grande en Windows, donde la mayoría de los usuarios utilizan una cuenta de nivel de administración para gestionar sus PC.

Para evitar que el malware explote esta técnica de bypass UAC, el investigador de seguridad recomienda que los usuarios dejen de usar las cuentas de administrador ya que sus usuarios por defecto, y establecer el nivel de UAC “Siempre notifique,” ​​sólo para estar en el lado seguro.

Hay ventajas obvias para no usar cuentas de administrador como perfiles de Windows por defecto. Un informe publicado por Avecto en febrero de 2017 ha puesto de manifiesto que mediante la eliminación de derechos de administrador, el ordenador de un usuario estaría protegido de todos los errores de seguridad descubiertos en 2016 en el IE, Edge y de oficina, todos los que trabajan sólo de cuentas de nivel de administrador.


Fecha actualización el 2017-5-23. Fecha publicación el . Categoría: Windows. Autor: Mapa del sitio Fuente: bleepingcomputer
bypass UAC