{"id":794,"date":"2021-01-04T22:50:42","date_gmt":"2021-01-04T21:50:42","guid":{"rendered":"http:\/\/pentester.blog\/?p=794"},"modified":"2021-01-05T12:00:56","modified_gmt":"2021-01-05T11:00:56","slug":"windows-un-petit-bypass-simple-de-luac","status":"publish","type":"post","link":"https:\/\/hacktarus.fr\/?p=794","title":{"rendered":"[Windows] Un petit bypass simple de l’UAC"},"content":{"rendered":"\n

L’UAC (User Account Control), 3 lettres pour d\u00e9signer le syst\u00e8me de contr\u00f4le d’acc\u00e8s introduit par Microsoft depuis Windows Vista.<\/p>\n\n\n\n

Le but est d’alerter l’utilisateur lorsqu’une action n\u00e9cessite des changements sur le syst\u00e8me avec des privil\u00e8ges plus \u00e9lev\u00e9s.<\/p>\n\n\n\n

Exemple, un utilisateur administrateur de son poste souhaite lancer une invite de commandes en tant qu’administrateur :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Bien qu’\u00e9tant administrateur de son poste, l’UAC se d\u00e9clenche :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

L’UAC emb\u00eate certains utilisateurs (mais c’est pour leur bien !), les pentesters mais g\u00eane surtout les auteurs de malwares car s’ils \u00e9chouent \u00e0 bypasser l’UAC, ils se d\u00e9voilent tout simplement.<\/p>\n\n\n\n

C’est pourquoi beaucoup de techniques ont vu le jour pour bypasser l’UAC. <\/p>\n\n\n\n

Une grande partie de ces techniques sont recens\u00e9es sur ce GitHub :<\/p>\n\n\n\n

https:\/\/github.com\/hfiref0x\/UACME<\/a><\/p>\n\n\n\n

On s’aper\u00e7oit que pas mal de failles ont \u00e9t\u00e9 corrig\u00e9es par Microsoft mais d’autres toujours pas\u2026<\/p>\n\n\n\n

En fait pour Microsoft ce n’est pas vraiment un probl\u00e8me de s\u00e9curit\u00e9 car il ne s’agit pas d’une \u00e9l\u00e9vation de privil\u00e8ges mais d’un bypass d’un avertissement de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Chacun a son avis sur le sujet mais pour ma part je pense qu’il s’agit de vuln\u00e9rabilit\u00e9s s\u00e9rieuses et Microsoft devrait les corriger car elles sont largement utilis\u00e9es par les malwares.<\/p>\n\n\n\n

La soci\u00e9t\u00e9 Lexfo en a parl\u00e9 d’ailleurs r\u00e9cemment dans un post li\u00e9 au ransomware \u00ab\u00a0Lockbit\u00a0\u00bb (tr\u00e8s int\u00e9ressant au passage) :<\/p>\n\n\n\n

https:\/\/blog.lexfo.fr\/lockbit-malware.html<\/a><\/p>\n\n\n\n

A mon tour d’ajouter une petite pierre \u00e0 l’\u00e9difice, j’ai en effet trouv\u00e9 un petit bypass simple de l’UAC \ud83d\ude42<\/p>\n\n\n\n

Avant d’entrer dans le vif du sujet, un peu d’historique.<\/p>\n\n\n\n

Les alertes de l’UAC \u00e9taient si fr\u00e9quentes dans Vista que depuis Windows 7 et apr\u00e8s de nombreuses plaintes, Microsoft a fait quelques concessions.<\/p>\n\n\n\n

En effet certains binaires sign\u00e9s par Microsoft (ainsi qu’une liste d’objets COM) ne d\u00e9clenchent pas d’alerte de l’UAC, on peut consid\u00e9rer cela comme une sorte de whitelist.<\/p>\n\n\n\n

Quels sont ces binaires ?<\/p>\n\n\n\n

Il suffit de rechercher les ex\u00e9cutables qui ont l’attribut \u00ab\u00a0autoElevate\u00a0\u00bb \u00e0 \u00ab\u00a0true\u00a0\u00bb dans leur fichier manifest.xml :<\/p>\n\n\n\n

sigcheck.exe -m c:\\windows\\system32\\*.exe<\/code><\/p>\n\n\n\n

Ces binaires sont int\u00e9ressant car la moindre vuln\u00e9rabilit\u00e9 permet d’ouvrir une br\u00e8che sur l’UAC.<\/p>\n\n\n\n

Alors, let’s go !<\/p>\n\n\n\n

Pr\u00e9requis :<\/p>\n\n\n\n