Bypass UAC: DLL injection en taskmgr.exe + fileless eventvwr.exe (PoC)

Thu, 14 May 2020 16:27:00 +0000

En un artículo anterior hablé de un bypass fileless en el binario sdclt.exe, también comenté la posibilidad de realizar este método al binario eventvwr.exe. En esta ocasión mostraré como realizar un bypass de UAC usando un DLL Injection aprovechando un método tipo fileless.

Bypass UAC tipo DLL Hijacking Link to heading

Existen varios tipos de técnicas DLL Hijacking (sideloading, proxying, phantom), la finalidad es conseguir una escalada de privilegios o persistencia en un sistema. Consiste en hacer un “secuestro” de una DLL por la suplantación de otra DLL que ejecute un código arbitrario que le interese a un atacante.

Bypass UAC Fileless usando AppPaths sdclt.exe

Thu, 30 Apr 2020 13:54:00 +0000

La idea de los bypass de UAC (User Account Control) tipo fileless es detectar binarios de Windows firmados por Microsoft y que tienen el atributo autoElevate a true de su manifest. Con una política por defecto de UAC en Windows, estos binarios se ejecutan en un contexto de integridad alto, interactuando con el registro no encuentran las claves en la rama HKCU.

Cuando en la consulta se obtiene un resultado NAME NOT FOUND y esta se hace antes de que se ejecute el propio binario, se podría escribir en esa rama HKCU en la que si tendremos permisos haciendo referencia a la invocación de otro binario como por ejemplo un cmd.exe. Esto provocará que este cmd.exe se ejecute antes y de forma privilegiada logrando así el bypass del UAC.

Fileless on Adrián Lois

Bypass UAC: DLL injection en taskmgr.exe + fileless eventvwr.exe (PoC)

Bypass UAC tipo DLL Hijacking Link to heading

Bypass UAC Fileless usando AppPaths sdclt.exe