image

Onderzoekers omzeilen Windows UAC via Event Viewer

dinsdag 16 augustus 2016, 09:30 door Redactie, 8 reacties

Onderzoekers zijn er opnieuw in geslaagd om een beveiligingsfunctie van Windows 7 en Windows 10 te omzeilen die ongewenste aanpassingen aan systeeminstellingen moet voorkomen. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC).

UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Onderzoekers Matt Graeber en Matt Nelson lieten eind juli al zien hoe ze UAC via Schijfopruiming konden omzeilen. Nu hebben ze een andere methode ontdekt, namelijk het gebruik van Event Viewer. Via Event Viewer is het mogelijk om logbestanden te bekijken van gebeurtenissen die zich binnen het besturingssysteem hebben voorgedaan.

Gebruikten de onderzoekers voor het omzeilen van UAC via Schijfopruiming een kwaadaardig dll-bestand, in het geval van de nu getoonde methode via Event Viewer gebeurt dit zonder aanvullende bestanden. Het lukte de onderzoekers om via Event Viewer een registerproces te kapen, PowerShell te starten en vervolgens met verhoogde rechten commando's op de machine uit te voeren.

De onderzoekers hebben de aanval op Windows 7 en Windows 10 gedemonstreerd, maar stellen dat waarschijnlijk ook andere Windowsversies kwetsbaar zijn. Om de aanval uit te voeren moet een aanvaller wel al toegang tot het systeem hebben. Graeber en Nelson laten niet weten of ze het probleem aan Microsoft hebben gemeld. Dat was wel het geval met de methode die van Schijfopruiming gebruikmaakte. De softwaregigant stelde destijds dat het niet om een beveiligingslek ging en was dan ook niet van plan om het op te lossen.

Reacties (8)
16-08-2016, 09:47 door Anoniem
Dit was mij al jaren bekend.
16-08-2016, 10:24 door Anoniem
Door Anoniem: Dit was mij al jaren bekend.

ja dit heb jij jaren geleden natuurlijk getest in windows 10
16-08-2016, 11:44 door Anoniem
Het schijnt (volgens de onderzoekers) niet te werken als je UAC op het (standaard !!!) hoogste niveau laat staan.

En ja, als je toch al toegang met beheerdersrechten hebt, dan is niets meer veilig. ????
16-08-2016, 11:50 door Erik van Straten
Uit https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/:
August 15, 2016 by enigma0x3: [...]
This particular technique can be remediated or fixed by setting the UAC level to “Always Notify” or by removing the current user from the Local Administrators group.
[...]
16-08-2016, 12:38 door Spiff has left the building
Door Anoniem, 11:44 uur:
Het schijnt (volgens de onderzoekers) niet te werken als je UAC op het (standaard !!!) hoogste niveau laat staan.
Dat was het standaard (en enige) UAC niveau onder Windows Vista.
Vanaf Windows 7 is echter niet meer het hoogste niveau "Always notify" de standaardinstelling, maar is jammer genoeg de standaardinstelling het een na hoogste niveau "Notify me only when apps try to make changes to my computer".
En die standaardinstelling "Notify me only when apps try to make changes to my computer" is minder veilig, zo blijkt voor de zoveelste keer.
Het is eerder al gezegd, en het blijkt ook nu weer een goeie raad: stel UAC in op het hoogste niveau, "Always notify".
16-08-2016, 13:44 door Anoniem
Tja, dit is een stukje beveiliging van windows en windows kennende is niet zo goed met beveiligen. Alles van windows kan omzeilt worden, zoniet, is het microsoft zelf die perongeluk zijn eigen besturingssysteem laat omzeilen. Een geluk dat ze patches weten te kweken.
16-08-2016, 14:19 door Anoniem
Door Spiff:
Door Anoniem, 11:44 uur:
Het schijnt (volgens de onderzoekers) niet te werken als je UAC op het (standaard !!!) hoogste niveau laat staan.
Dat was het standaard (en enige) UAC niveau onder Windows Vista.
Vanaf Windows 7 is echter niet meer het hoogste niveau "Always notify" de standaardinstelling, maar is jammer genoeg de standaardinstelling het een na hoogste niveau "Notify me only when apps try to make changes to my computer".
En die standaardinstelling "Notify me only when apps try to make changes to my computer" is minder veilig, zo blijkt voor de zoveelste keer.
Het is eerder al gezegd, en het blijkt ook nu weer een goeie raad: stel UAC in op het hoogste niveau, "Always notify".

Als je daar ook nog eens de gebruikersrecht bij omlaag schroeft heb je een aardige verdediging opgebouwd. Het is voor mij nog steeds een raadsel waarom mensen standaard met admin rechten blijven werken. In 99% van de tijd / situaties volkomen onnodig.
18-08-2016, 21:42 door Anoniem
Door Anoniem:
Door Anoniem: Dit was mij al jaren bekend.

ja dit heb jij jaren geleden natuurlijk getest in windows 10


:D ik dacht precise het zelfde
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.