View
10
Download
1
Category
Preview:
Citation preview
uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando
bypasses de UACPablo González – 11Paths
@pablogonzalezpe
@pablogonzalezpe
WhoIsIngeniero Informático & Máster Seguridad Informática2009– 2013Informática 642013- ??ElevenPaths(Telefónica)Co-fundador deFluProjectFounderhackersClubMVPMicrosoft2017-2018Algunos libros (0xWord):
§ Metasploit parapentesters§ Pentesting conKali§ EthicalHacking§ GotRoot§ Pentesting conPowershell
Agenda
¿Qué es UAC?¿Cómo funciona?¿Qué es un bypass de UAC?¿Por qué importa?Tipos
DLL HijackingFileless
UAC-A-MolaArquitecturaMódulos
Resultados@pablogonzalezpe
¿Qué es UAC?Permite utilizar el sistema con una cuenta de usuariopoco privilegiado, y cuando sea necesario, elevarprivilegios y realizarlo de una manera sencillasolicitando permiso o solicitando una credenciales
Introducido en Windows Vista
@pablogonzalezpe
¿Qué es UAC?
@pablogonzalezpe
Políticas de UACPolíticas de UAC
Directiva equipo -> Configuración equipo ->Configuración Windows -> Directivas locales ->Opciones de seguridad
¿Cómo funciona?Ante elevación de privilegio:
Si user pert. grupo adminsSi proceso está en integridad mediaSi UAC policy está por defecto
Entonces => proceso toma el token SYSTEM == High Integrity
@pablogonzalezpe
¿Cómo funciona?Binarios con manifest:
Autoelevate TrueBinarios de confianza (firmados Microsoft)
@pablogonzalezpe
¿Qué es un bypass de UAC?Vía para lograr ejecutar un proceso en un contexto deintegridad ALTA (System) evitando que la pantalla deUAC salte
@pablogonzalezpe
¿Por qué importa?3 Escenarios (Ejecución de privilegios):
Proceso comprometido pert. Administrador real
Proceso comprometido pert. Usuario del grupoAdministradores
Proceso comprometido pert. Usuarios estándares (SinPrivilegio)
@pablogonzalezpe
DLL HijackingTécnica de secuestro de DLL a un proceso/binario
El objetivo es lograr que el proceso ejecute nuestra DLL envez la legítima
El bypass UAC más clásico
Requiere de un elemento más que permita copiar o moverdatos a una zona protegida, ¿Es posible?
@pablogonzalezpe
PoC: WinSxS con WUSA en Win7/8/8.1
@pablogonzalezpe
Fileless: Tocando el registro de Windows
HKEY_CLASSES_ROOT se forma a partir de la mezclade información de dos origines:
HKEY_LOCAL_MACHINE\Software\Classes, que contiene laconfiguración por defecto de todos los usuarios locales.
HKEY_CURRENT_USER\Software\Classes, que contiene laconfiguración del usuario logado
https://msdn.microsoft.com/en-us/library/windows/desktop/ms724475(v=vs.85).aspx
Se cierran algunos Bypasses de UAC
http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/
https://isc.sans.edu/forums/diary/Malicious+Office+files+using+fileless+UAC+bypass+to+drop+KEYBASE+malware/22011/
@pablogonzalezpe
IDEM: ¿Qué es?Tras el estudio del UAC y los bypasses…
Surge el concepto de la metodología IDEM para UAC
InvestigaciónDetecciónExplotaciónMitigación
@pablogonzalezpe
Uac-a-mola framework
Arquitectura
Módulos
http://www.elladodelmal.com/2018/01/como-construir-un-modulo-para-uac-mola.html
PoC: Importancia del bypass de UAC (postexp.)
@pablogonzalezpe
PoC: uac-a-mola detectando DLL Hijacking en Win7
@pablogonzalezpe
PoC: uac-a-mola detectando fileless en Win7
@pablogonzalezpe
PoC: uac-a-mola detectando fileless fodhelper en win10
@pablogonzalezpe
PoC: uac-a-mola mitigando fodhelper en win10
@pablogonzalezpe
Resultados
Path:C:\Windows\System32
OS Nºautoelvatebinaries Fileless BinariesNames
Windows7 56 4
eventvwr.exeCompMgmtLauncher.exesdclt.exesdclt.exe/kickoffelev
Windows8.1 60 4
eventvwr.exeCompMgmtLauncher.exeslui.exesdclt.exe/kickoffelev
Windows10 60 3sdclt.exesdclt.exe /kickoffelevfodhelper.exe
@pablogonzalezpe
ResultadosPath:C:\Windows\System32
OS Nºautoelevatebinaries DLLHijacking BinariesNames
Windows7 56 12
CompMgmtLauncher.exeComputerDefaults.exeeventvwr.exehdwwiz.exeiscsipl.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeperfmon.exetcmsetup.exe
Windows8.1 60 15
CompMgmtLauncher.exeComputerDefaults.exehdwwiz.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe
Windows10 60 13
ComputerDefaults.exefodhelper.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcad32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe@pablogonzalezpe
Conclusiones
@pablogonzalezpe
@pablogonzalezpe
Recommended