uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando,...

27
uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypasses de UAC Pablo González – 11Paths @pablogonzalezpe

Transcript of uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando,...

Page 1: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando

bypasses de UACPablo González – 11Paths

@pablogonzalezpe

Page 2: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

@pablogonzalezpe

WhoIsIngeniero Informático & Máster Seguridad Informática2009– 2013Informática 642013- ??ElevenPaths(Telefónica)Co-fundador deFluProjectFounderhackersClubMVPMicrosoft2017-2018Algunos libros (0xWord):

§ Metasploit parapentesters§ Pentesting conKali§ EthicalHacking§ GotRoot§ Pentesting conPowershell

Page 3: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Agenda

¿Qué es UAC?¿Cómo funciona?¿Qué es un bypass de UAC?¿Por qué importa?Tipos

DLL HijackingFileless

UAC-A-MolaArquitecturaMódulos

Resultados@pablogonzalezpe

Page 4: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Qué es UAC?Permite utilizar el sistema con una cuenta de usuariopoco privilegiado, y cuando sea necesario, elevarprivilegios y realizarlo de una manera sencillasolicitando permiso o solicitando una credenciales

Introducido en Windows Vista

@pablogonzalezpe

Page 5: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Qué es UAC?

@pablogonzalezpe

Page 6: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Políticas de UACPolíticas de UAC

Directiva equipo -> Configuración equipo ->Configuración Windows -> Directivas locales ->Opciones de seguridad

Page 7: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Cómo funciona?Ante elevación de privilegio:

Si user pert. grupo adminsSi proceso está en integridad mediaSi UAC policy está por defecto

Entonces => proceso toma el token SYSTEM == High Integrity

@pablogonzalezpe

Page 8: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Cómo funciona?Binarios con manifest:

Autoelevate TrueBinarios de confianza (firmados Microsoft)

@pablogonzalezpe

Page 9: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Qué es un bypass de UAC?Vía para lograr ejecutar un proceso en un contexto deintegridad ALTA (System) evitando que la pantalla deUAC salte

@pablogonzalezpe

Page 10: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

¿Por qué importa?3 Escenarios (Ejecución de privilegios):

Proceso comprometido pert. Administrador real

Proceso comprometido pert. Usuario del grupoAdministradores

Proceso comprometido pert. Usuarios estándares (SinPrivilegio)

@pablogonzalezpe

Page 11: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

DLL HijackingTécnica de secuestro de DLL a un proceso/binario

El objetivo es lograr que el proceso ejecute nuestra DLL envez la legítima

El bypass UAC más clásico

Requiere de un elemento más que permita copiar o moverdatos a una zona protegida, ¿Es posible?

@pablogonzalezpe

Page 12: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: WinSxS con WUSA en Win7/8/8.1

@pablogonzalezpe

Page 13: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Fileless: Tocando el registro de Windows

HKEY_CLASSES_ROOT se forma a partir de la mezclade información de dos origines:

HKEY_LOCAL_MACHINE\Software\Classes, que contiene laconfiguración por defecto de todos los usuarios locales.

HKEY_CURRENT_USER\Software\Classes, que contiene laconfiguración del usuario logado

https://msdn.microsoft.com/en-us/library/windows/desktop/ms724475(v=vs.85).aspx

Page 14: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Se cierran algunos Bypasses de UAC

http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/

https://isc.sans.edu/forums/diary/Malicious+Office+files+using+fileless+UAC+bypass+to+drop+KEYBASE+malware/22011/

@pablogonzalezpe

Page 15: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

IDEM: ¿Qué es?Tras el estudio del UAC y los bypasses…

Surge el concepto de la metodología IDEM para UAC

InvestigaciónDetecciónExplotaciónMitigación

@pablogonzalezpe

Page 16: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Uac-a-mola framework

Page 17: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Arquitectura

Page 18: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Módulos

http://www.elladodelmal.com/2018/01/como-construir-un-modulo-para-uac-mola.html

Page 19: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: Importancia del bypass de UAC (postexp.)

@pablogonzalezpe

Page 20: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: uac-a-mola detectando DLL Hijacking en Win7

@pablogonzalezpe

Page 21: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: uac-a-mola detectando fileless en Win7

@pablogonzalezpe

Page 22: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: uac-a-mola detectando fileless fodhelper en win10

@pablogonzalezpe

Page 23: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

PoC: uac-a-mola mitigando fodhelper en win10

@pablogonzalezpe

Page 24: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Resultados

Path:C:\Windows\System32

OS Nºautoelvatebinaries Fileless BinariesNames

Windows7 56 4

eventvwr.exeCompMgmtLauncher.exesdclt.exesdclt.exe/kickoffelev

Windows8.1 60 4

eventvwr.exeCompMgmtLauncher.exeslui.exesdclt.exe/kickoffelev

Windows10 60 3sdclt.exesdclt.exe /kickoffelevfodhelper.exe

@pablogonzalezpe

Page 25: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

ResultadosPath:C:\Windows\System32

OS Nºautoelevatebinaries DLLHijacking BinariesNames

Windows7 56 12

CompMgmtLauncher.exeComputerDefaults.exeeventvwr.exehdwwiz.exeiscsipl.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeperfmon.exetcmsetup.exe

Windows8.1 60 15

CompMgmtLauncher.exeComputerDefaults.exehdwwiz.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe

Windows10 60 13

ComputerDefaults.exefodhelper.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcad32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe@pablogonzalezpe

Page 26: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

Conclusiones

@pablogonzalezpe

Page 27: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe

@pablogonzalezpe