oberlausitzer
Goto Top

UAC und Locky

Hallo,

ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann:

Umgebung: Windows 10 Pro 64bit, Benutzer ist Administrator (aber nicht "der" Administrator).

Da gibt's ja ein Youtube-Video wie man über die Aufgabenplanung einen Task mit höchsten Privilegien einfügen (und dann natürlich auch ausführen) kann. Das funktioniert bei mir nicht, weil der Start der Aufgabenplanung bereits Administratorrechte anfordert. Soweit so gut, aber... Man kann ja auch über ein paar Befehle dem task scheduler einen neuen Task aufs Auge drücken - und da kommt keine Abfrage. Das Verbieten des Hinzufügens von neuen Aufgaben über die Policies wirkt auch nicht.

Heißt das nun, dass die UAC völlig sinnfrei ist? Mich nur vor mir selber schützt? Ich kann's nicht glauben.

Vielleicht sieht jemand meinen Denkfehler (hoffentlich).

Danke im Voraus.

Content-Key: 301194

Url: https://administrator.de/contentid/301194

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Chonta
Chonta 07.04.2016 um 17:14:14 Uhr
Goto Top
Hallo,

die Cryptotrojaner brauchen nichtmal Adminrechte. Die verschlüssel alles wo der Nutzer Schreibrechte hat und fertig.
Mit Adminrechten können sie nur noch etwas mehr aber der Schaden ist auch mit weniger Rechten da.

Wenn Du mit lokalen adminrechten die Befehle z.B. lokal über psexec ausführtst kommt keine Abfrage.
Wenn Du lokal eine cmd aufmachst udn diese nicht mit Adminrechten startest, kann die auch nix starten das die Adminrechte nochmal abfragt, bzw. die gestartete Anwendung sollte dann nochmal fragen.

Gib mal am besten ein direcktes Beispiel zum nachvollziehen.

Gruß

Chonta
Mitglied: Oberlausitzer
Oberlausitzer 07.04.2016 aktualisiert um 17:25:05 Uhr
Goto Top
Hallo,

hier der Originalcode von MS (den ich in einer Konsolenanwendung laufen habe):

using (TaskService ts = new TaskService())
{
TaskDefinition td = ts.NewTask();

td.RegistrationInfo.Description = "Does something";
td.Triggers.Add(new DailyTrigger { DaysInterval = 2 });
td.Actions.Add(new ExecAction("notepad.exe", "c:\\test.log", null));

ts.RootFolder.RegisterTaskDefinition(@"Test", td);
}
Und der tut es auch ohne irgendwelche Kommentare von der Kommandozeile aus. Der Task hat zwar im Beispiel noch keine maximalen Rechte, aber das sollte nur eine Eigenschaft mehr sein (die ich noch nicht gesucht habe).

Grüße
Harald
Mitglied: Oberlausitzer
Oberlausitzer 07.04.2016 um 18:11:37 Uhr
Goto Top
Hallo,

ich nehm's zurück. Das Hinzufügen mit höchsten Privilegien führt zum "Access Denied". Mir geht's jetzt gleich ein bisschen besser.^^

Bleibt die Frage: Wieso tritt bei dem Beispiel im Youtube-Video, der zu Beginn die UAC-Einstellungen auf die höchste Stufe stellt (so wie es bei mir auch ist), keine Abfrage auf, wenn er die Aufgabenplanung interaktiv öffnen will, aber bei mir? Kann das mit einer anderen Windows 10-Edition (Home) zusammenhängen?

Danke für die Hilfe.

Harald
Mitglied: DerWoWusste
DerWoWusste 07.04.2016 um 18:31:19 Uhr
Goto Top
Hi.

Locky und UAC - wo ist der Zusammenhang, kläre uns bitte auf. Locky muss keine UAC aushebeln können, um sein Werk zu tun.
Mitglied: Oberlausitzer
Oberlausitzer 07.04.2016 aktualisiert um 18:52:59 Uhr
Goto Top
Hi,

jetzt bin ich froh, dass Du mich nicht nach der Versionsnummer von Locky gefragt hast.^^ Aber Locky ist ja nur ein ich sag mal Synonym für eine Vielzahl von Ransom-Angriffen (er merkt sich einfach besser). Guck mal in die c't 8/2016 Seite 46, da stehen ein paar Beispiele, wo die UAC gefordert wird.

Auf meine Frage hattest Du nicht zufällig eine Antwort?
Mitglied: DerWoWusste
DerWoWusste 07.04.2016 aktualisiert um 23:27:43 Uhr
Goto Top
Ich fasse mich mal ganz kompakt:
Ist ja schön, sich um die UAC zu sorgen, aber wie die nun arbeitet oder nicht, ist für den Schutz gegen Locky&Co eher nachrangig bs unwichtig - du weißt ja nicht einmal, ob es nun viele Varianten sind, die nur mit bestätigten Adminrechten arbeiten, oder nur wenige, also mach dir dazu keine Gedanken, sondern setze Application Whitelisting um, dann kann Dir das egal sein.

Die UAC ist kein Schutzmechanismus. MS sagt: Wenn ein Bug dazu führt, dass die UAC umgangen werden könnte, dann wäre das keine Sicherheitslücke. Ehrlich, genau das schreiben sie. Und arbeiten solltest Du nicht als Admin, insofern darf die UAC einfach kein zu betrachtendes Kriterium sein - so oder so.
Mitglied: agowa338
agowa338 09.04.2016 um 04:23:11 Uhr
Goto Top
Es hat zwar nichts mit Locky zu tun, aber bisher haben (fast?) alle Angriffe auf die UAC nur zum Erfolg geführt, wenn diese nicht auf "Immer Benachrichtigen" gesetzt war, sondern auf der Standardeinstellung belassen wurde.
Mitglied: Oberlausitzer
Oberlausitzer 09.04.2016 um 19:53:34 Uhr
Goto Top
Das ist im Grunde mein Ansatz. Deshalb war meine Frage, wie man die Aufgabenplanung bei höchster Warnstufe der UAC ohne eben dieses Elevating öffnen kann. Bei mir geht das nämlich nicht.
Mitglied: DerWoWusste
Lösung DerWoWusste 10.04.2016 aktualisiert um 08:46:00 Uhr
Goto Top
Es gibt einen Designfehler in der uac, der einen Bypass zulässt. Dieser besteht in win7 und 8.x, nicht aber in 10. Er hat mit der Stufe der UAC nichts zu tun.
https://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ...
Ich hatte damals mitgepostet und Mark Russinovich angeschrieben, der mir sagte: "wird in 10 gefixt, nicht aber in Vorversionen" und so kam es auch.
Mitglied: Oberlausitzer
Oberlausitzer 10.04.2016 aktualisiert um 18:57:43 Uhr
Goto Top
Danke! Der Thread war etwas heftig aber meine Frage ist erschöpfend beantwortet!

Ich kenne noch die Aussage von Polizisten von früher, wenn der Blinker nicht ging und ich die Hand rausgehalten habe: Was dran ist, muss gehn - 10 M, brauchen Sie ne Quittung? Die UAC scheint mir jetzt (bei Windows 10) das zu tun, was ein "einfacher" Admin erwartet: Den Benutzer drauf hinzuweisen, wenn er Unfug anstellen könnte oder mit alter/miserable designter Software hantiert.