La última versión de UACMe es la v2.8.7, una herramienta que derrota al Control de cuentas de usuario (UAC) de Windows al abusar de la puerta trasera AutoElevate incorporada en Windows.
UACme es una herramienta compilada basada en C que contiene una serie de métodos para derrotar el Control de cuentas de usuario de Windows conocido comúnmente como UAC. Abusa de la puerta trasera incorporada AutoElevate y contiene 41 métodos.
1. Control de cuentas de usuario (UAC)
La característica de Control de cuentas de usuario (UAC) ha existido desde Windows Vista y todavía se puede encontrar implementada en Windows 10. Básicamente, UAC es una característica de seguridad implementada en el sistema operativo de Windows para evitar que programas potencialmente dañinos realicen cambios en su computadora.
Restricción: Incluso si su cuenta de usuario pertenece al grupo de administradores que se supone que tiene acceso completo a la computadora, usted todavía está sujeto a la restricción de UAC.
Cuando ejecuta una aplicación que necesita privilegios para realizar cambios de archivos o registros que pueden afectar globalmente a todos los usuarios en la computadora, se iniciará una ventana de aviso de Control de cuentas de usuario.
El usuario puede hacer clic en el botón Yes/Si para permitir que el programa que realizará los cambios en la computadora se ejecute o, si no, al hacer clic en No, evitará que se ejecute.
Si comparamos las versiones de Windows que vienen con y sin la función de Control de cuentas de usuario (XP versus Vista y los más recientes), vemos que XP tiene una tasa de infección de malware muy alta, mientras que un Windows más reciente requiere un malware mucho más sofisticado para poder para tomar el control total de la computadora.
En este artículo analizaremos con más detalle qué tan efectiva es la función de Control de cuentas de usuario y cuáles son sus debilidades.
2. Bypass del sistema de seguridad UAC
Una derivación real del UAC es cuando una aplicación obtiene privilegios administrativos completos a través de una puerta trasera (backdoor) y requiere que el usuario haga clic en el botón Sí en la ventana de UAC. Un claro ejemplo:
Ahora veamos una prueba de concepto de código abierto disponible públicamente para anular el Control de cuentas de usuario llamado UACMe.
https://github.com/hfiref0x/UACME
La Herramienta contiene 12 métodos diferentes que el malware utiliza para eludir el UAC.
3. Advertencia de uso
- Esta herramienta muestra ÚNICAMENTE el método popular de omisión de UAC utilizado por el malware. Existen métodos diferentes, aún no conocidos para el público en general.
- El uso del método (5) apagará permanentemente el UAC (después del reinicio), asegúrese de hacer esto en el entorno de prueba o no olvide volver a habilitar el UAC después del uso de la herramienta.
- El uso de los métodos (5), (9) comprometerá permanentemente la seguridad de las keys (claves de registro).
- Esta herramienta no está diseñada para pruebas AV y no ha sido probada para funcionar en entornos AV agresivos.
- Algunos AV pueden marcar esta herramienta como HackTool, MSE/WinDefender lo marca constantemente como malware en Windows 10 RS3.
- Si ejecuta este programa en una computadora real, recuerde eliminar todos los restos del programa después de su uso.
- La mayoría de los métodos están creados para x64.
Requisitos del sistema
- Windows 7/8/8.1/10TH1/10TH2/10RS1/10RS2 (x86-32/x64).
- La cuenta de administrador con UAC establecida.
4. Ejemplo de uso de UACMe
Para probar cada método diferente de derivación de UAC, simplemente agregue un número del 1 al 12 después del nombre del archivo. Por ejemplo:
Akagi32.exe 3
Las siguientes capturas de pantalla muestran un ejemplo del uso de UACMe para iniciar un símbolo del sistema con privilegios administrativos sin la ventana de aviso de UAC.
- Intentamos crear una carpeta en la ruta: C:\Windows
- Como puede ver en la ventana del símbolo del sistema de fondo, no pudimos crear una nueva carpeta en C:\Windows, nos da el error “Acceso denegado“.
- Luego ejecutamos UACMe (Akagi64) con el parámetro 3 para utilizar un método de puerta trasera y así ejecutar otro símbolo del sistema con privilegios administrativos sin superponer toda la pantalla con una advertencia de UAC.
- Luego pudimos crear un nuevo directorio en C:\Windows utilizando el símbolo del sistema que se inició con UACMe.
Las versiones de 32 bits y de 64 bits están disponibles para UACMe, así que asegúrese de ejecutar la versión correcta en función de la arquitectura de su sistema operativo Windows.
5. Protección Contra El Bypass De UAC
La configuración predeterminada de Control de cuentas de usuario que se encuentra en el tercer nivel no es segura y puede anularse. La configuración de Control de cuentas de usuario más efectiva es establecerlo en el nivel más alto (cuarto), que es siempre notificar cuando los programas intenten instalar software o realizar cambios en la computadora o en la configuración de Windows.
Otra forma es usar una cuenta de usuario estándar o invitado en lugar de una cuenta de administrador que se crea después de instalar Windows.
Si te ha gustado el artículo, por favor compártelo con los demás 🙂