Certified Security Operations Center GmbH

30. August 2024

UAC Bypass via Sdclt: Was Unternehmen wissen sollten


In der heutigen digitalen Ära, in der Unternehmen zunehmend auf komplexe IT-Infrastrukturen angewiesen sind, stellt die Sicherheit dieser Systeme eine zentrale Herausforderung dar.

Ein aktuelles Beispiel ist der UAC-Bypass der über die sdclt.exe ausgeführt wird, der Unternehmen vor große Herausforderungen stellt und dabei an besonderer Brisanz gewinnt. Die UAC ist ein Schutzmechanismus und die Fähigkeit von Cyberkriminellen diese Schutzmechanismen zu überwinden, ist für Unternehmen besonders alarmierend. Ein erfolgreicher UAC-Bypass kann zu schwerwiegenden Sicherheitsvorfällen führen, daher ist das Bewusstsein und die Abwehr solcher Bedrohungen für den Schutz von Unternehmensdaten und -prozessen von entscheidender Bedeutung. In diesem News-Beitrag erläutern wir, was ein UAC-Bypass ist, wie er funktioniert, welche Gefahren dadurch entstehen und welche Maßnahmen Unternehmen ergreifen können, um sich wirksamer zu schützen.

Der UAC-Bypass

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Sicherheitsfeature in Windows-Betriebssicherheitssystemen, das verhindert, dass unautorisierte Änderungen an einem System vorgenommen werden, indem es Benutzer zur Bestätigung von Aktionen auffordert. Ein UAC-Bypass hingegen ist eine Methode, mit der die Sicherheitsabfragen von Windows umgangen werden. Der Angreifer erlangt unbemerkt Administratorrechte und kann ohne Zustimmung Änderungen am System vornehmen, ohne dass eine Warnung ausgegeben wird.

Die Funktionsweise eines UAC-Bypasses

Die häufigste Methode einen UAC-Bypass in das System einzuschleusen ist die Ausnutzung schwacher UAC-Einstellungen. Wenn UAC so konfiguriert ist, dass es weniger restriktiv ist, beispielsweise auf „Nie benachrichtigen“ eingestellt, kann der Angreifer diese Konfiguration ausnutzen, um ohne Zustimmung des Benutzers erhöhte Berechtigungen zu erlangen. Eine weitere Technik besteht im Missbrauch von Programmen, die standardmäßig mit erhöhten Rechten ausgeführt werden. Ein Angreifer kann diese Programme starten und sie so manipulieren, dass sie einen Code mit Administratorrechten ausführen. Hierbei handelt es sich lediglich um zwei Beispiele, es existieren jedoch ständig neue und vielfältige Techniken, um UAC-Bypass-angriffe durchzuführen, da Cyberkriminelle kontinuierlich nach neuen Wegen suchen, um Sicherheitsmechanismen von Windows zu umgehen.

Bei einem aktuellen Vorfall wurde versucht, einen UAC-Bypass über die sdclt.exe zu ermöglichen. Dabei wird eine spezifische Registrierungsschlüsselstruktur erstellt, um den Bypass durchzuführen und eine Eingabeaufforderung mit erhöhten Rechten zu starten. Der relevante Registry-Eintrag war wie folgt:

Registry value set:

RuleName: T1042

EventType: SetValue

TargetObject: HKLM\{bf1a281b-ad7b-4476-ac95-f47682990ce7}C:/ProgramData/Microsoft/Windows/Containers/Layers/06b6c56a-5192-4a70-b05d-08e4ac287adf/Files/Windows/System32/config/SOFTWARE\Classes\exefile\shell\runas\command\IsolatedCommand

Details: „Unzulässige Funktion. “ %%*

User: NT-AUTORITÄT\SYSTEM

Gefahren

· Erhöhte Berechtigungen: Angreifer können Administratorrechte erlangen und schädliche Aktionen ohne Benachrichtigung durchführen.

· Datenverlust: Mit administrativen Rechten können Angreifer auf vertrauliche Informationen zugreifen und diese stehlen oder löschen.

· Systembeschädigung: Schadsoftware kann das System beschädigen oder unbrauchbar machen. Schädliche Software kann installiert werden, ohne dass der Benutzer eine Warnung erhält oder zustimmen muss.

· Netzwerkkompromittierung: Einmal im Netzwerk, könnten Angreifer weitere Systeme kompromittieren.

· Persistenz: Malware kann nach einem Systemneustart weiterhin aktiv bleiben und Schaden anrichten.

· Betriebsausfälle: Durch die Sabotage von Systemprozessen können Angreifer erhebliche Betriebsstörungen verursachen.

· Umgehung fundamentaler Schutzmechanismen: Ein erfolgreicher UAC-Bypass untergräbt die grundlegenden Sicherheitsvorkehrungen eines Betriebssystems und öffnet Türen für weitere Angriffe.

Ein UAC-Bypass stellt eine ernsthafte Bedrohung für die IT-Sicherheit und die Betriebsstabilität von Unternehmen dar. Unternehmen sollte die Gefahr bewusst sein und Vorsichtsmaßnahmen sollten ergriffen werden.

Unsere Handlungsempfehlungen:

· Überwachung und Protokollierung: Kontinuierliche Überwachung der Registry und anderer kritischer Bereiche ist unerlässlich. Alle Änderungen sollten protokolliert und regelmäßig überprüft werden.

· Beschränkung von Benutzerrechten: Reduzieren Sie die Anzahl der Benutzer mit Administratorrechten auf das notwendige Minimum. Nutzen Sie das Prinzip der minimalen Rechtevergabe (Least Privilege).

· Regelmäßige Updates: Halten Sie Betriebssysteme und Anwendungen stets auf dem neuesten Stand, um bekannte Schwachstellen zu schließen.

· Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren von Social Engineering und Phishing-Angriffen, die häufig der erste Schritt zu einem erfolgreichen Angriff sind.

· Zugriffskontrollen: Implementieren Sie starke Zugriffskontrollen und überwachen Sie ungewöhnliche Aktivitäten, um potenzielle Angriffe frühzeitig zu erkennen und zu stoppen.

· Strikte UAC-Einstellungen: Stellen Sie sicher, dass UAC auf die höchste Sicherheitsstufe eingestellt ist, sodass Benutzer immer benachrichtigt werden, sobald Änderungen an Systemdateien oder Einstellungen vorgenommen werden. Implementieren Sie Softwareeinschränkungsrichtlinien oder AppLocker, um die Ausführung nicht autorisierter Software zu verhindern.

· Einsatz von Sicherheitssoftware: Nutzen Sie umfassende Sicherheitslösungen, einschließlich Antivirus- und Antimalware-Programme, die spezifisch auf die Erkennung und Verhinderung von UAC-Bypass-Techniken ausgelegt sind.

Durch die Umsetzung dieser Maßnahmen können Unternehmen das Risiko eines erfolgreichen UAC-Bypasses und der damit verbundenen Sicherheitsbedrohungen erheblich reduzieren.

error: